Implémenter x-frame-options : en-tête de sécurité SAMEORIGIN [Mise à jour dans Security Center 1.3]

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez la propriété pour définir l’en-tête de réponse X-Frame-Options sur SAMEORIGIN pour toutes les pages de l’interface glide.set_x_frame_options utilisateur.

    Utilisez l’en-tête de réponse HTTP X-Frame-Options pour indiquer si le navigateur doit être autorisé à rendre une page dans un <frame> ou <iframe>. Les sites peuvent utiliser cette fonction pour éviter les attaques de détournement de clic en s’assurant que leur contenu n’est pas intégré dans d’autres sites. Un attaquant pourrait intégrer votre page dans sa propre page et faire en sorte que vos éléments de page fonctionnent de manière malveillante. L’utilisateur final peut penser que la page est légitime parce qu’elle ressemble à votre page. L’utilisateur final peut cliquer sur les éléments comme d’habitude uniquement pour exécuter des scripts ou des éléments malveillants.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.set_x_frame_options
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Configuration
    Objectif Pour atténuer les attaques de ClickJacking.
    Valeur recommandée VRAI
    Valeur par défaut VRAI
    Cote de risque de sécurité 7.1
    Impact fonctionnel (Faible) Cette correction applique la restriction d’affichage d’une Now Platform application dans une application tierce sous la forme d’un iFrame. Si vous disposez d’une telle intégration, l’application ne s’affichera pas dans l’application tierce personnalisée.
    Risque de sécurité (Moyen) La stratégie Même origine vous permet d’empêcher un domaine de récupérer un script ou une ressource d’un autre domaine. Tous les navigateurs modernes prennent en charge cette fonctionnalité.
    La politique valide la connexion en fonction du protocole, du port et de l’hôte. CORS (Cross Origin Request) est une modification de la stratégie de même origine qui permet l’accès à des ressources/scripts d’un autre domaine lorsqu’il est explicitement indiqué dans le cadre de la valeur de l’en-tête.
    • Dans ce cas, l’en-tête X-Frame-Options contrôle si l’application Now Platform peut être rendue sur le site Web tiers.
    • Cela réduit l’exposition sensible, car la valeur de la propriété, lorsqu’elle est définie sur SAMEORIGIN , ne permet pas au rendu de se produire.
    Références

    Propriétés système disponibles

    Configurer les iFrames

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.