X-Frame-Options du client intégré Virtual Agent (renforcement de la sécurité de l’instance)

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez cette com.glide.cs.embed.xframe_options propriété pour activer la configuration de l’en-tête X-Frame uniquement pour la page https://<votre-instance>.service-now.com/sn_va_web_client_app_embed.do .

    Le module d’extension Agent virtuel permet d’intégrer un client dans une page Web externe. Pour permettre l’intégration de la page client dans la page Web, l’en-tête X-Frame-Options doit permettre d’inclure l’iframe dans le cadre parent.
    Remarque :
    Évitez d’utiliser allow-from* comme valeur d’en-tête X-Frame-Options, car cela activerait tous les domaines et rendrait l’application potentiellement vulnérable au détournement de clic.

    En savoir plus

    Attribut Description
    Nom de la propriété com.glide.cs.embed.xframe_options
    Type de configuration Propriétés système (/sys_properties_list.do)
    Configurer dans le centre de sécurité de l’instance Non
    Objectif Pour activer la spécification de la directive pour l’en-tête X-Frame-Options pour la page Agent virtuel intégrable.
    Valeur recommandée SameOrigin
    Impact fonctionnel (Élevé) Le client incorporable d’Agent virtuel ne s’autorise pas à être incorporé dans des sites externes, sauf si l’en-tête X-Frame-Options est correctement configuré.
    Risque de sécurité (Moyen) Si elle n’est pas configurée correctement (en autorisant tous les cadres parents), elle peut éventuellement rendre la page client intégrable vulnérable au détournement de clic.
    Références

    Incorporer le client Web de l’Agent virtuel dans une page Web externe

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.