Cabeçalhos de resposta HTTP

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Um cabeçalho de resposta é um par de nome-valor simples usado em uma resposta HTTP para fornecer informações adicionais sobre o conteúdo da página ou sobre como o cliente deve processá-lo.

    Você pode configurar cabeçalhos de resposta HTTP para todos ou para tipos específicos de páginas, que incluem Portal de serviços, Página de IU ou aplicações de UX. A capacidade de configurar e passar cabeçalhos de resposta permite o tratamento especial do conteúdo da página por um cliente, normalmente um navegador.

    Para saber mais sobre o que é um cabeçalho HTTP e sobre como configurar o par de nome-valor para cabeçalhos de resposta HTTP específicos, consulte:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers

    Ao configurar cabeçalhos de resposta, você deve observar a definição do cabeçalho HTTP para determinar como o cliente manipularia o conteúdo da página.
    • Por exemplo, você configura um cabeçalho HTTP para uma página específica ou para todas as páginas com uma Content-Security-Policy: frame-ancestors 'self' https://www.servicenow.com.
    • Ao invocar a página em um navegador como o Chrome, você pode revisá-la na seção Cabeçalhos de resposta das Ferramentas do desenvolvedor do Chrome.

      Cabeçalho HTTP com Content-Security-Policy: frame-ancestors 'self'

    Para saber mais sobre como os navegadores manipulam uma página com frame-ancestors, consulte https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors.

    Aviso:
    Ao usar URLs com pares de nome-valor personalizados, prossiga com cuidado porque há um possível risco de segurança ao fazê-lo. A alteração de segurança assinada para o contrato Now Platform tem segurança implícita. Você pode substituí-la potencialmente ou acidentalmente ao usar pares de nome-valor personalizados em URLs resultantes.
    • Se você quiser desabilitar totalmente as funções de configuração do cabeçalho de resposta HTTP, defina a propriedade glide.http.headers_config.enabled como falsa.
    • Depois de defini-la como falsa, Now Platform não usa nenhuma das configurações de cabeçalho definidas na tabela sys_response_header.

    Manipulação especial do cabeçalho Content-Security-Policy: frame-ancestor

    Normalmente, o Now Platform inclui automaticamente o cabeçalho X-Frame-Options: SAMEORIGIN.
    • Ele oferece suporte ao uso deste cabeçalho em todos os tipos de navegadores, com base na configuração da propriedade global glide.set_x_frame_options, que está habilitada por padrão.
    • Quando você configura uma página com um cabeçalho Content-Security-Policy: frame-ancestor 'self' URL1 URL2, o Now Platform não inclui automaticamente o cabeçalho X-Frame-Options: SAMEORIGIN. A exclusão evita que o navegador seja confundido, porque Content-Security-Policy: frame-ancestor 'self' já tem um efeito semelhante.

    Manipulação especial do cabeçalho Content-Security-Policy: frame-ancestor para o Internet Explorer

    O uso do cabeçalho Content-Security-Policy: frame-ancestor 'self' URL1 URL2 permite que você configure várias origens de URL para incluir a página de um iFrame renderizado de um site de terceiros. No entanto, o Internet Explorer não é compatível com este tipo de cabeçalho.
    • Em vez disso, o Internet Explorer oferece suporte somente à diretriz X-Frame-Options: ALLOW-FROM URL (ALLOW-FROM) neste cabeçalho, embora a restrição seja para um único URL de host.
    • Se você configurar o cabeçalho frame-ancestor 'self' URL1 URL2 e o Internet Explorer estiver em uso, o Now Platform usará automaticamente o cabeçalho X-Frame-Options: ALLOW-FROM URL (ALLOW-FROM).
    Se a solicitação do Internet Explorer incluir o cabeçalho do URL do referenciador:
    • Ele tenta fazer a correspondência com os URLs do host (somente formato de URL do tipo http://*.example.com completo ou curinga) configurados no cabeçalho Content-Security-Policy: frame-ancestor 'self' URL1 URL2.
    • Se houver uma correspondência, inclua o URL correspondente como X-Frame-Options: ALLOW-FROM URL1.
    • Se não houver nenhum cabeçalho de referenciador, ele usará os primeiros URLs de host não baseados em caracteres curinga configurados no cabeçalho Content-Security-Policy: frame-ancestor 'self' URL1 URL2.
    Nota:
    Ao configurar URLs, não inclua uma barra no final do URL.
    • Este é um exemplo de uma configuração incorreta que pode não funcionar corretamente com esta manipulação especial:
      • Nome: Content-Security-Policy
      • Valor: frame-ancestors 'self' https://microsoft.com/
    • Em vez disso, use esta sintaxe correta:
      • Nome: Content-Security-Policy
      • Valor: frame-ancestors 'self' https://microsoft.com