En-têtes des réponses HTTP

Interface utilisateur de la Now Platform à Washington DC

Release

washingtondc

ft:locale

fr-FR

ft:publication_title

Interface utilisateur de la Now Platform à Washington DC

ft:clusterId

platux

bundleId

platux

workflow

Platform

En-têtes des réponses HTTP

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

3 minutes de lecture

Un en-tête de réponse est une paire nom-valeur simple utilisée dans une réponse HTTP pour fournir des informations supplémentaires sur le contenu de la page ou sur la manière dont le client doit le traiter.

Vous pouvez configurer des en-têtes de réponse HTTP pour toutes les pages, ou pour des types spécifiques de pages, notamment Portail de services, Page d’interface utilisateur ou Applications UX. La possibilité de configurer et de transmettre des en-têtes de réponse permet une gestion spéciale du contenu de la page par un client, le plus souvent un navigateur.

Pour en savoir plus sur ce qu’est un en-tête HTTP et sur la configuration de la paire nom-valeur pour des en-têtes de réponse HTTP spécifiques, consultez :https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers

Lors de la configuration des en-têtes de réponse, vous devez examiner la définition de l’en-tête HTTP pour déterminer comment le client gérerait le contenu de la page.

Par exemple, vous configurez un en-tête HTTP pour une page spécifique ou toutes les pages avec un https://www.servicenow.com Content-Security-Policy : frame-ancestors 'self'.
Lorsque vous appelez la page dans un navigateur tel que Chrome, vous pouvez l’examiner dans la section En-têtes de réponse des outils de développement Chrome.

Pour en savoir plus sur la façon dont les navigateurs gèrent une page avec des ancêtres de cadre, reportez-vous à la section https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors.

Avertissement :

Lorsque vous utilisez des URL avec des paires nom-valeur personnalisées, procédez avec prudence, car cela présente un risque potentiel pour la sécurité. L’avenant de garantie signé au Now Platform contrat comporte une garantie implicite. Vous pouvez potentiellement ou accidentellement le remplacer lorsque vous utilisez des paires nom-valeur personnalisées dans les URL résultantes.

Si vous souhaitez désactiver entièrement les fonctions de configuration de l’en-tête de réponse HTTP, définissez la glide.http.headers_config.enabled propriété sur faux.
Une fois que vous l’avez défini sur faux, Now Platform cela n’utilise aucune des configurations d’en-tête que vous avez définies dans la table sys_response_header.

Gestion spéciale de la politique de sécurité du contenu : en-tête frame-ancestor

Normalement, l’en-tête Now Platform X-Frame-Options : SAMEORIGIN est automatiquement inclus.

Il prend en charge l’utilisation de cet en-tête dans tous les types de navigateurs, en fonction du paramètre de la glide.set_x_frame_options propriété globale, qui est activée par défaut.
Lorsque vous configurez une page avec un en-tête Content-Security-Policy : frame-ancestor 'self' URL1 URL2, l’en-tête Now Platform X-Frame-Options : SAMEORIGIN n’est pas automatiquement inclus. L’exclure empêche le navigateur d’être confondu, car Content-Security-Policy : frame-ancestor 'self' a déjà un effet similaire.

Gestion spéciale de Content-Security-Policy : en-tête frame-ancestor pour Internet Explorer

À l’aide de l’en-tête Content-Security-Policy : frame-ancestor 'self' URL1 URL2 vous permet de configurer plusieurs sources d’URL pour inclure la page à partir d’un iFrame rendu à partir d’un site tiers. Toutefois, Internet Explorer ne prend pas en charge ce type d’en-tête.

Au lieu de cela, Internet Explorer ne prend en charge que la directive X-Frame-Options : ALLOW-FROM URL (ALLOW-FROM) dans cet en-tête, bien que la restriction concerne une seule URL d’hôte.
Si vous configurez l’en-tête URL1 URL2 de l’ancêtre du cadre 'self' et qu’Internet Explorer est utilisé, le Now Platform utilise automatiquement l’en-tête X-Frame-Options : ALLOW-FROM URL (ALLOW-FROM) à la place.

Si la demande d’Internet Explorer inclut l’en-tête de l’URL de référence :

Il tente de le mettre en correspondance avec les URL hôtes (format d’URL complet ou générique de type http ://*.example.com uniquement) configurées dans l’en-tête Content-Security-Policy : frame-ancestor 'self' URL1 URL2.
S’il y a une correspondance, incluez l’URL correspondante en tant que X-Frame-Options : ALLOW-FROM URL1.
S’il n’y a pas d’en-tête référent, il utilise les premières URL hôtes non génériques configurées dans l’en-tête URL1 URL2 Content-Security-Policy : frame-ancestor 'self' URL1 URL2.

Remarque :

Lors de la configuration des URL, n’ajoutez pas de barre oblique à la fin de l’URL.

Voici cet exemple d’une configuration incorrecte qui peut ne pas fonctionner correctement avec cette gestion spéciale :
- Nom : Content-Security-Policy
- Valeur : frame-ancestors 'self' https://microsoft.com/
Utilisez plutôt cette syntaxe correcte :
- Nom : Content-Security-Policy
- Valeur : frame-ancestors 'self' https://microsoft.com