Impor política de referenciador seguro

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 3 min. de leitura

    • Use o. com.glide.security.referrerpolicyPropriedade para garantir que o cabeçalho HTTP Referrer-Policy envie o nível apropriado de dados para cada um ServiceNow® página para ajudar a evitar vazamentos de dados.

    Use o. com.glide.security.referrerpolicyPropriedade do sistema para controlar quais informações estão incluídas no cabeçalho HTTP do solicitante na Now Platform. Os dados incluídos no cabeçalho do solicitante, de acordo com a política desta propriedade, são a origem, o caminho e as cadeias de caracteres de consulta do URL do solicitante completo. Esses valores são os valores padronizados da Política de referência compatíveis com o protocolo HTTP com a adição do valor "Padrão". Dependendo da política definida por esta propriedade, o cabeçalho do referenciador pode incluir informações confidenciais sobre ou da entidade que faz a solicitação.

    Certifique-se de que com.glide.security.referrerpolicya propriedade do sistema está definida como uma das seguintes opções: padrão , mesma origem , origem-quando-origem cruzada , ou origem-estrita-quando-origem-cruzada .

    Mais informações

    Atributo Descrição
    Nome da configuração com.glide.security.referrerpolicy
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Tipo de dados Cadeia de caracteres
    Valor recomendado padrão
    Valor padrão padrão
    Valor de fallback padrão
    Categoria Configuração
    Risco à segurança
    • Pontuação de gravidade: 4,3
    • Pontuação do CVSS: média

    • Detalhes do risco de segurança: Quando com.glide.security.referrerpolicya propriedade do sistema está definida como sem-referenciador-quando-downgrade ou unsafe-url , O cabeçalho referenciador de uma solicitação para um site diferente da origem inclui o URL completo da página de referência que faz a solicitação. O URL de referência completo compartilhado com sites externos pode incluir informações confidenciais de ou sobre sua instância. Isso pode levar a vazamento de dados e violações de privacidade.

      Quando a propriedade está definida como não referenciador , origem , ou origem estrita , O cabeçalho do solicitante não está incluído ou inclui somente a parte de origem do URL do solicitante quando as solicitações são enviadas para a origem. Essa mudança pode impedir os esforços para rastrear caminhos de ataque nos logs quando ocorre um incidente de segurança, já que a origem exata de uma solicitação não pode ser determinada facilmente. A configuração adequada desta propriedade é essencial para ajudar a evitar a divulgação não autorizada de identificadores internos ou parâmetros confidenciais, permitindo investigações de incidentes de segurança.
    Impacto funcional

    Quando o. com.glide.security.referrerpolicya propriedade do sistema está definida como não referenciador , origem , ou origem estrita , O cabeçalho do solicitante não está incluído ou inclui somente a parte de origem do URL do solicitante quando as solicitações são enviadas para a origem. Esta mudança pode interromper a funcionalidade que requer estes dados.

    Alguns sites, como o YouTube, exigem que as solicitações de link incorporado incluam pelo menos a origem no cabeçalho do referenciador (por exemplo, a política "Origem-quando-origem-cruzada"). O valor apropriado desta propriedade depende do proprietário da instância e do caso de uso. Aqueles que recomendamos estão descritos aqui. Essas políticas são seguras e não quebram a funcionalidade básica do sistema. Mais informações sobre essas e outras políticas padronizadas podem ser encontradas em https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Referrer-Policy.

    • padrão : Funcional igual a definir o valor como mesma origem
    • mesma origem : Envia a origem, o caminho e a cadeia de caracteres de consulta para solicitações da mesma origem. Não envia o cabeçalho do solicitante para solicitações de origens cruzadas.
    • origem-quando-origem cruzada : Ao executar uma solicitação de mesma origem, envia a origem, o caminho e a cadeia de caracteres de consulta. Envia somente a origem de solicitações entre origens e solicitações para destinos menos seguros (de HTTPS para HTTP).
    • origem-estrita-quando-origem-cruzada : Envia a origem, o caminho e a cadeia de caracteres de consulta ao executar uma solicitação da mesma origem. Para solicitações de origens cruzadas, envia a origem somente quando o nível de segurança do protocolo permanece o mesmo (de HTTPS para HTTPS). Não envia o cabeçalho do referenciador para destinos menos seguros (de HTTPS para HTTP).
    Dependências e pré-requisitos Nenhum
    Referências Referrer-Policy