HTTP 応答ヘッダー

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • 応答ヘッダーは、HTTP 応答で使用されるシンプルな名前と値のペアで、ページコンテンツに関する追加情報やクライアントによる処理方法を提供します。

    サービスポータル、UI ページ、または UX アプリケーションを含む、すべてまたは特定のページタイプに対して HTTP 応答ヘッダーを構成できます。応答ヘッダーを構成して渡す機能により、クライアント (通常はブラウザ) によるページコンテンツの特別な処理が可能になります。

    HTTP ヘッダーの詳細や、特定の HTTP 応答ヘッダーの名前と値のペアを構成する方法の詳細については、以下を参照してください。https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers

    応答ヘッダーを構成するときは、HTTP ヘッダーの定義を確認し、クライアントがページコンテンツを処理する方法を決定する必要があります。
    • たとえば、特定のページまたはすべてのページに HTTP ヘッダーを Content-Security-Policy: frame-ancestors 'self' https://www.servicenow.com のように設定します。
    • Chrome などのブラウザでページを呼び出して、Chrome 開発者ツールの [応答ヘッダー] セクションでページを確認できます。

      Content-Security-Policy: frame-ancestors 'self' の HTTP ヘッダー

    ブラウザが frame-ancestors を使用するページを処理する方法の詳細については、「https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors」を参照してください。

    警告:
    カスタム名前/値ペアがある URL を使用する場合は、潜在的なセキュリティリスクがあるため、注意して作業を進めてください。Now Platform の契約に対する署名されたセキュリティの修正には、暗黙的なセキュリティが含まれています。最終的な URL でカスタムの名前と値のペアを使用すると、誤って上書きする可能性があります。
    • HTTP 応答ヘッダーの構成関数を完全に無効にする場合は、glide.http.headers_config.enabled プロパティを false に設定します。
    • false に設定すると、Now Platform で sys_response_header テーブルに定義したヘッダー構成は使用されません。

    Content-Security-Policy: frame-ancestor ヘッダーの特別な処理

    通常、Now Platform には X-Frame-Options: SAMEORIGIN ヘッダーが自動的に含まれます。
    • デフォルトで有効になっている glide.set_x_frame_options グローバルプロパティの設定に基づいて、すべてのタイプのブラウザでこのヘッダーの使用がサポートされます。
    • Content-Security-Policy: frame-ancestor 'self' URL1 URL2 ヘッダーを使用してページを構成する場合、Now Platform には X-Frame-Options: SAMEORIGIN ヘッダーが自動的に含まれません。Content-Security-Policy: frame-ancestor 'self' には同じ機能がすでに含まれているため、これを除外することにより、ブラウザが混乱するのを防ぐことができます。

    Internet Explorer に対する Content-Security-Policy: frame-ancestor ヘッダーの特別な処理

    Content-Security-Policy: frame-ancestor 'self' URL1 URL2 ヘッダーを使用すると、サードパーティのサイトからレンダリングされた iFrame 内からのページを含めるように複数の URL ソースを構成できます。ただし、Internet Explorer でこのタイプのヘッダーはサポートされていません。
    • 代わりに、Internet Explorer はこのヘッダーで X-Frame-Options: ALLOW-FROM URL (ALLOW-FROM) ディレクティブのみをサポートしますが、単一のホスト URL に限定されます。
    • frame-ancestor 'self' URL1 URL2 ヘッダーを設定し、Internet Explorer が使用されている場合、Now Platform では自動的に X-Frame-Options: ALLOW-FROM URL (ALLOW-FROM) ヘッダーが代用されます。
    Internet Explorer 要求に参照元 URL ヘッダーが含まれている場合:
    • Content-Security-Policy: frame-ancestor 'self' URL1 URL2 ヘッダーで設定されたホスト URL (完全な URL またはワイルドカード http://*.example.com タイプの URL 形式のみ) との照合を試みます。
    • 一致がある場合は、一致した URL を X-Frame-Options: ALLOW-FRM URL1 として含めます。
    • 参照者ヘッダーがない場合は、Content-Security-Policy: frame-ancestor 'self' URL1 URL2 ヘッダーで構成されたワイルドカードベースでない最初のホスト URL が使用されます。
    注:
    URL を設定するときは、URL の末尾にスラッシュを含めないでください。
    • 以下に、この特別な処理では正しく動作しない可能性がある誤った設定例を示します。
      • 名前:Content-Security-Policy
      • 値:frame-ancestors 'self' https://microsoft.com/
    • 代わりに次の正しい構文を使用してください。
      • 名前:Content-Security-Policy
      • 値:frame-ancestors 'self' https://microsoft.com