x-frame-options 구현: SAMEORIGIN 보안 헤더 [Security Center 1.3에서 업데이트됨]
이 glide.set_x_frame_options 속성을 사용하여 모든 UI 페이지에 대해 X-Frame-Options 응답 헤더를 SAMEORIGIN으로 설정합니다.
X-Frame-Options HTTP 응답 헤더를 사용하여 브라우저에서 또는 로 페이지를 <frame><iframe>렌더링하도록 허용해야 하는지 여부를 나타냅니다. 사이트는 이 기능을 사용하여 콘텐츠가 다른 사이트에 포함되지 않도록 함으로써 클릭재킹 공격을 방지할 수 있습니다. 공격자는 페이지를 자신의 페이지에 삽입하고 페이지 요소가 악의적으로 작동하도록 할 수 있습니다. 최종 사용자는 페이지가 귀하의 페이지와 유사하기 때문에 페이지가 합법적이라고 생각할 수 있습니다. 최종 사용자는 악성 스크립트나 요소를 실행하기 위해서만 평소와 같이 요소를 클릭할 수 있습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.set_x_frame_options |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 구성 |
| 목적 | ClickJacking 공격을 완화합니다. |
| 권장 값 | 예 |
| 기본값 | 예 |
| 보안 위험 등급 | 5.9 |
| 기능적 영향 | 이렇게 정정하면 타사 애플리케이션에서 애플리케이션을 iFrame 형태로 렌더링 ServiceNow AI Platform 하는 것에 제한이 적용됩니다. 이러한 통합이 있는 경우 애플리케이션은 사용자 지정된 외부 공급업체 앱에서 렌더링되지 않습니다. |
| 보안 위험 | (중간) 동일 원본 정책을 사용하면 도메인이 다른 도메인에서 스크립트나 자원을 검색하지 못하도록 제한할 수 있습니다. 모든 최신 브라우저는 이 기능을 지원합니다. 정책은 프로토콜, 포트 및 호스트를 기반으로 연결의 유효성을 검사합니다. CORS(교차 원본 요청)는 헤더 값의 일부로 명시적으로 언급된 경우 다른 도메인의 자원/스크립트에 액세스할 수 있도록 하는 동일 원본 정책의 수정 사항입니다.
|
| 참조 |
시스템 속성 추가 또는 작성에 대한 자세한 내용은 다음 문서를 참조하십시오 Add a system property.