HTTP 응답 헤더

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 응답 헤더는 페이지 콘텐츠 또는 클라이언트가 이를 처리하는 방법에 대한 추가 정보를 제공하기 위해 HTTP 응답에 사용되는 간단한 이름-값 쌍입니다.

    UI 페이지 또는 UX 애플리케이션을 포함하는 서비스 포털모든 페이지 또는 특정 유형의 페이지에 대해 HTTP 응답 헤더를 구성할 수 있습니다. 응답 헤더를 구성하고 전달하는 기능을 통해 클라이언트(일반적으로 브라우저)에서 페이지 컨텐츠를 특별 처리할 수 있습니다.

    HTTP 헤더가 무엇인지, 특정 HTTP 응답 헤더에 대한 이름-값 쌍을 구성하는 방법에 대한 자세한 내용은 다음을 참조하세요.https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers

    응답 헤더를 구성할 때 HTTP 헤더에 대한 정의를 확인하여 클라이언트가 페이지 컨텐츠를 처리하는 방법을 결정해야 합니다.
    • 예를 들어, 특정 페이지 또는 Content-Security-Policy: frame-ancestors 'self' https://www.servicenow.com 있는 모든 페이지에 대해 HTTP 헤더를 구성합니다.
    • Chrome과 같은 브라우저에서 페이지를 호출하면 Chrome 개발자 도구의 응답 헤더 섹션에서 페이지를 검토할 수 있습니다.

      Content-Security-Policy: frame-ancestors 'self'가 있는 HTTP 헤더

    브라우저가 프레임 조상이 있는 페이지를 처리하는 방법에 대한 자세한 내용은 을 참조하십시오 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors.

    경고:
    사용자 지정 이름-값 쌍이 있는 URL을 사용하는 경우 잠재적인 보안 위험이 있으므로 주의해서 진행해야 합니다. 계약서에 Now Platform 서명된 보안 수정안은 보안을 암시합니다. 결과 URL에 사용자 지정 이름-값 쌍을 사용할 때 잠재적으로 또는 실수로 재정의할 수 있습니다.
    • HTTP 응답 헤더 구성 기능을 완전히 사용 안함으로 설정하려면 속성을 false로 설정 glide.http.headers_config.enabled 하십시오.
    • false Now Platform 로 설정하면 sys_response_header 테이블에서 정의한 헤더 구성을 사용하지 않습니다.

    Content-Security-Policy: frame-ancestor 헤더의 특별 처리

    일반적으로 X-Frame-Options: SAMEORIGIN 헤더가 Now Platform 자동으로 포함됩니다.
    • 기본적으로 사용하도록 설정된 전역 속성의 glide.set_x_frame_options 설정에 따라 모든 유형의 브라우저에서 이 헤더를 사용할 수 있도록 지원합니다.
    • Content-Security-Policy: frame-ancestor 'self' URL1 URL2 헤더 Now Platform 가 있는 페이지를 구성하는 경우 X-Frame-Options: SAMEORIGIN 헤더가 자동으로 포함되지 않습니다. 이를 제외하면 Content-Security-Policy: frame-ancestor 'self'가 이미 유사한 효과를 가지므로 브라우저가 혼동되는 것을 방지할 수 있습니다.

    Content-Security-Policy의 특수 처리: Internet Explorer용 frame-ancestor 헤더

    Content-Security-Policy: frame-ancestor 'self' URL1 URL2 헤더를 사용하면 타사 사이트에서 렌더링된 iFrame 내에서 페이지를 포함하도록 여러 URL 소스를 구성할 수 있습니다. 그러나 Internet Explorer는 이 유형의 헤더를 지원하지 않습니다.
    • 대신 Internet Explorer는 단일 호스트 URL에 대한 제한이지만 이 헤더에서 X-Frame-Options: ALLOW-FROM URL(ALLOW-FROM) 지시문만 지원합니다.
    • 프레임 상위 항목 'self' URL1 URL2 헤더를 구성하고 Internet Explorer를 사용 Now Platform 중인 경우 X-Frame-Options: ALLOW-FROM URL(ALLOW-FROM) 헤더를 대신 자동으로 사용합니다.
    Internet Explorer 요청에 리퍼러 URL 헤더가 포함된 경우:
    • Content-Security-Policy: frame-ancestor 'self' URL1 URL2 헤더에 구성된 호스트 URL(전체 또는 와일드카드 http://*.example.com 유형 URL 형식만 해당)과 일치시키려고 시도합니다.
    • 일치하는 URL이 있는 경우 일치하는 URL을 X-Frame-Options: ALLOW-FROM URL1로 포함합니다.
    • 레퍼러 헤더가 없는 경우 Content-Security-Policy: frame-ancestor 'self' URL1 URL2 헤더에 구성된 첫 번째 비와일드카드 기반 호스트 URL을 사용합니다.
    주:
    URL을 구성할 때 URL 끝에 슬래시를 포함하지 마십시오.
    • 이 특별 처리로 제대로 작동하지 않을 수 있는 잘못된 구성의 다음 예:
      • 이름: Content-Security-Policy
      • 값: frame-ancestors 'self' https://microsoft.com/
    • 대신 다음과 같은 올바른 구문을 사용하십시오.
      • 이름: Content-Security-Policy
      • 값: frame-ancestors 'self' https://microsoft.com