Implémenter x-frame-options : en-tête de sécurité SAMEORIGIN [Mis à jour dans Centre de sécurité 1.3]

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Utilisez la glide.set_x_frame_options propriété pour définir l’en-tête de réponse X-Frame-Options sur SAMEORIGIN pour toutes les pages de l’interface utilisateur.

    Utilisez l’en-tête de réponse HTTP X-Frame-Options pour indiquer si le navigateur doit être autorisé à afficher une page dans un ou <iframe>un <frame> . Les sites peuvent utiliser cette fonction pour éviter les attaques de détournement de clic, en s’assurant que leur contenu n’est pas intégré à d’autres sites. Un attaquant pourrait intégrer votre page dans sa propre page et faire en sorte que les éléments de votre page fonctionnent de manière malveillante. L’utilisateur final peut penser que la page est légitime parce qu’elle ressemble à votre page. L’utilisateur final peut cliquer sur des éléments comme d’habitude pour exécuter des scripts ou des éléments malveillants.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.set_x_frame_options
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Configuration
    Objectif Pour atténuer les attaques de ClickJacking.
    Valeur recommandée vrai
    Valeur par défaut vrai
    Cote de risque de sécurité 5.9
    Impact fonctionnel Cette correction applique la restriction pour le rendu d’une ServiceNow AI Platform application dans une application tierce sous la forme d’un iFrame. Si vous disposez d’une telle intégration, l’application ne s’affichera pas dans l’application tierce personnalisée.
    Risque de sécurité (Moyen) La stratégie de même origine vous permet d’empêcher un domaine de récupérer un script ou une ressource d’un autre domaine. Tous les navigateurs modernes prennent en charge cette fonctionnalité.
    La politique valide la connexion en fonction du protocole, du port et de l’hôte. CORS (Cross Origin Request) est une modification de la politique de même origine qui permet d’accéder aux ressources/scripts d’un autre domaine lorsqu’elle est explicitement indiquée comme faisant partie de la valeur d’en-tête.
    • Dans ce cas, l’en-tête X-Frame-Options contrôle si l’application ServiceNow AI Platform peut être affichée sur le site Web tiers.
    • Cela réduit l’exposition sensible, car la valeur de propriété, lorsqu’elle est définie sur SAMEORIGIN , ne permet pas le rendu de se produire.
    Références

    Propriétés système disponibles

    Configurer les iFrame

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.