Restreindre les domaines autorisés pour la communication cross-origin entre iFrame

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Utilisez une propriété système pour activer la communication d’origine croisée entre les iframes.

    Utilisez cette propriété pour empêcher la glide.ui.concourse.onmessage_enforce_same_origin communication d’origine croisée à partir de domaines non approuvés. Si la valeur recommandée n’est pas définie sur vrai, la validation de la messagerie cross-origin n’est pas effectuée. Si la valeur est définie sur vrai , les domaines répertoriés dans la glide.ui.concourse.onmessage_enforce_same_origin_whitelist propriété système peuvent propager des messages dans l’interface utilisateur. À utiliser glide.ui.concourse.onmessage_enforce_same_origin_whitelist pour contrôler les domaines autorisés.

    Assurez-vous que la propriété existe dans la table Propriétés système [sys_properties] et qu’elle glide.ui.concourse.onmessage_enforce_same_origin est définie sur true.

    En savoir plus

    Attribut Description
    Nom de la configuration glide.ui.concourse.onmessage_enforce_same_origin
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données Booléen
    Valeur recommandée VRAI
    Valeur par défaut vrai
    Valeur de secours Faux
    Catégorie Contrôle d'accès
    Risque de sécurité
    • Score de gravité : 4,2
    • Score CVSS : moyen
    • Détails du risque de sécurité : si les gestionnaires d’événements d’une page Web n’effectuent pas de validation d’origine appropriée, une autre page Web ou un autre script de n’importe quelle origine peut communiquer avec elle. Ces pages ou scripts peuvent également lancer toute fonctionnalité exécutée par le gestionnaire d’événements. Cette propriété permet à des domaines externes potentiellement non approuvés d’envoyer des messages à l’instance ServiceNow, ce qui augmente le risque d’attaques d’origine croisée telles que le vol de données ou la manipulation de l’interface utilisateur.
    Impact fonctionnel Si vous n’ajoutez pas les domaines prévus à la liste d’inclusion dans la propriété système, les glide.ui.concourse.onmessage_enforce_same_origin_whitelist messages d’origine croisée de ce domaine ne sont pas autorisés.
    Dépendances et prérequis Aucun