En-têtes des réponses HTTP

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Un en-tête de réponse est une simple paire nom-valeur utilisée dans une réponse HTTP pour fournir des informations supplémentaires sur le contenu de la page ou sur la façon dont le client doit la traiter.

    Vous pouvez configurer des en-têtes de réponse HTTP pour toutes les pages ou pour certains types de pages, notamment Portail de servicesles applications , Page d’interface utilisateur ou UX. La possibilité de configurer et de transmettre des en-têtes de réponse permet une gestion spéciale du contenu de la page par un client, le plus souvent un navigateur.

    Pour en savoir plus sur ce qu’est un en-tête HTTP et sur la configuration de la paire nom-valeur pour des en-têtes de réponse HTTP spécifiques, consultez :https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers

    Lors de la configuration des en-têtes de réponse, vous devez examiner la définition de l’en-tête HTTP pour déterminer comment le client gérerait le contenu de la page.
    • Par exemple, vous configurez un en-tête HTTP pour une page spécifique ou toutes les pages avec une politique de sécurité de contenu : frame-ancestors 'self' https://www.servicenow.com.
    • Lorsque vous appelez la page dans un navigateur tel que Chrome, vous pouvez l’examiner dans la section En-têtes de réponse des outils de développement Chrome.

      En-tête HTTP avec politique de sécurité de contenu : frame-ancestors 'self'

    Pour en savoir plus sur la façon dont les navigateurs traitent une page avec des ancêtres de cadres, reportez-vous à la section https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors.

    Avertissement :
    Lorsque vous utilisez des URL avec des paires nom-valeur personnalisées, procédez avec prudence car cela présente un risque de sécurité potentiel. L’avenant de sécurité signé au Now Platform contrat comporte une garantie implicite. Vous pouvez potentiellement ou accidentellement la remplacer lorsque vous utilisez des paires nom-valeur personnalisées dans les URL résultantes.
    • Si vous souhaitez désactiver entièrement les fonctions de configuration des en-têtes de réponse HTTP, définissez la glide.http.headers_config.enabled propriété sur false.
    • Une fois que vous l’avez défini sur faux, Now Platform n’utilise aucune des configurations d’en-tête que vous avez définies dans la table sys_response_header.

    Gestion spéciale de l’en-tête Content-Security-Policy : frame-ancestor

    Normalement, le inclut automatiquement l’en-tête Now Platform X-Frame-Options : SAMEORIGIN.
    • Cet en-tête est pris en charge dans tous les types de navigateurs, en fonction du paramètre de la glide.set_x_frame_options propriété globale, qui est activée par défaut.
    • Lorsque vous configurez une page avec un en-tête Content-Security-Policy : frame-ancestor 'self' URL1 URL2, cela n’inclut Now Platform pas automatiquement l’en-tête X-Frame-Options : SAMEORIGIN. L’exclure empêche le navigateur d’être confus, car Content-Security-Policy : frame-ancestor 'self' a déjà un effet similaire.

    Gestion spéciale de Content-Security-Policy : en-tête frame-ancestor pour Internet Explorer

    L’en-tête URL1 URL2 de Content-Security-Policy : frame-ancestor 'self' vous permet de configurer plusieurs sources URL pour inclure la page à partir d’un iFrame rendu à partir d’un site tiers. Cependant, Internet Explorer ne prend pas en charge ce type d’en-tête.
    • Au lieu de cela, Internet Explorer ne prend en charge que la directive X-Frame-Options : ALLOW-FROM URL (ALLOW-FROM) dans cet en-tête, bien que la restriction soit pour une seule URL hôte.
    • Si vous configurez l’en-tête URL1 URL2 'self' et qu’Internet Explorer est utilisé, il Now Platform utilise automatiquement l’en-tête X-Frame-Options : ALLOW-FROM URL (ALLOW-FROM) à la place.
    Si la demande d’Internet Explorer inclut l’en-tête de l’URL référente :
    • Il tente de le faire correspondre avec les URL d’hôte (format d’URL de type http ://*.example.com complet ou générique uniquement) configurées dans l’en-tête Content-Security-Policy : frame-ancestor 'self' URL1 URL2.
    • S’il y a une correspondance, incluez l’URL correspondante en tant que X-Frame-Options : ALLOW-FROM URL1.
    • S’il n’y a pas d’en-tête référent, il utilise les premières URL d’hôte non génériques configurées dans l’en-tête Content-Security-Policy : frame-ancestor 'self' URL1 URL2.
    Remarque :
    Lors de la configuration des URL, n’incluez pas de barre oblique à la fin de l’URL.
    • Cet exemple de configuration incorrecte qui peut ne pas fonctionner correctement avec cette gestion spéciale :
      • Nom : content-security-policy
      • Valeur : frame-ancestors 'self' https://microsoft.com/
    • Utilisez plutôt cette syntaxe correcte :
      • Nom : content-security-policy
      • Valeur : frame-ancestors 'self' https://microsoft.com