X-Frame-Options:SAMEORIGIN セキュリティヘッダーを実装 (セキュリティセンター 1.3 で更新)
glide.set_x_frame_options プロパティを使用して、すべての UI ページの SAMEORIGIN に対して X-Frame-Options 応答ヘッダーを設定します。
X-Frame-Options HTTP 応答ヘッダーは、<frame> または <iframe> 内のページをブラウザーでレンダリングできるかどうかを示すために使用されます。サイトでは、この機能を使用して、そのコンテンツがその他のサイトに組み込まれることがないようにすることで、クリックジャッキング攻撃を回避することができます。攻撃者は、お客様のページを自分のページに埋め込み、ページ要素が悪意を持って実行されるようにする可能性があります。エンドユーザーは、ページが自分のページに似ているため、そのページが正当だと考えるかもしれません。エンドユーザーが通常どおりに要素をクリックするだけで、悪意のあるスクリプトまたは要素が実行される可能性があります。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.set_x_frame_options |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 設定 |
| 目的 | クリックジャッキング攻撃の軽減 |
| 推奨値 | true |
| デフォルト値 | true |
| セキュリティリスク評価 | 5.9 |
| 機能への影響 | この修正では、サードパーティアプリケーションで ServiceNow AI Platform アプリケーションを iFrame の形式でレンダリングするための制限が適用されます。このような統合がある場合、アプリケーションはカスタマイズされたサードパーティアプリにはレンダリングされません。 |
| セキュリティリスク | (中) 同一生成元ポリシーを使用すると、ドメインが別のドメインからスクリプトやリソースを取得できないようにすることができます。最新のブラウザーはすべてこの機能をサポートしています。 このポリシーは、プロトコル、ポート、およびホストに基づいて接続を検証します。CORS (クロスオリジン要求) は同一生成元ポリシーを修正したものであり、ヘッダー値の一部として明示的に指定されている場合に、別のドメインのリソース/スクリプトにアクセスできるようにします。
|
| 参照 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。