仮想エージェント埋め込みクライアントコンテンツのセキュリティポリシー (インスタンスセキュリティ強化)
com.glide.cs.embed.csp_frame_ancestors プロパティを使用して、frame-ancestors ポリシーの構成を、https://<インスタンス>.service-now.com/sn_va_web_client_app_embed.do ページに対してのみ有効にします。
注:
コンテンツセキュリティポリシーを
「*」のみで指定しないでください。この指定ではすべてのドメインが有効になり、アプリケーションがクリックジャッキングに対して脆弱な状態になる可能性があります。詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | com.glide.cs.embed.csp_frame_ancestors |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| Instance Security Center での構成 | なし |
| 目的 | 埋め込み可能な仮想エージェントページ用にカスタマイズされたコンテンツセキュリティポリシーを作成できるようにすること |
| 推奨値 | 信頼できるドメインに設定 |
| 機能への影響度 | (高) 仮想エージェントの埋め込み可能クライアントは、それ自体を外部サイトに埋め込むことを許可していませんが、コンテンツセキュリティポリシーが適切に設定されている場合は例外です。 |
| セキュリティリスク | (中) 設定が不適切な場合 (すべての親フレームを許可)、埋め込み可能なクライアントページがクリックジャッキングに対して脆弱な状態になる可能性があります。 |
| 参照 | 仮想エージェント Web クライアントを外部 Web ページに埋め込む frame-ancestors のコンテンツセキュリティポリシーの作成の詳細については、こちらを参照してください。 |
設定手順
- 移動先 .
- com.glide.cs.embed.csp_frame_ancestors プロパティを検索します。
- 許容可能なコンテンツセキュリティポリシーを割り当て (会社またはその他の承認済みドメインのみを許可)、[更新] をクリックします。