仮想エージェント埋め込みクライアント X-Frame-Options (インスタンスセキュリティ強化)
com.glide.cs.embed.xframe_options プロパティを使用して、X-Frame ヘッダーの構成を、https://<インスタンス>.service-now.com/sn_va_web_client_app_embed.do ページに対してのみ有効にします。
iframe を親フレームに組み込むことができるようにする必要があります。注:
X-Frame-Options ヘッダーの値を
allow-from * に指定しないでください。この指定ではすべてのドメインが有効になり、アプリケーションがクリックジャッキングに対して脆弱な状態になる可能性があります。詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | com.glide.cs.embed.xframe_options |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| インスタンスセキュリティセンターでの構成 | なし |
| 目的 | 埋め込み可能な仮想エージェントページの X-Frame-Options ヘッダーのディレクティブ指定を有効にすること |
| 推奨値 | sameorigin |
| 機能への影響 | (高) 仮想エージェントの埋め込み可能クライアントは、それ自体を外部サイトに埋め込むことはできませんが、 X-Frame-Options ヘッダーが適切に設定されている場合は例外です。 |
| セキュリティリスク | (中) 設定が不適切な場合 (すべての親フレームを許可)、埋め込み可能なクライアントページがクリックジャッキングに対して脆弱な状態になる可能性があります。 |
| 参照 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。