Appliquer la politique de référent sécurisé

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Utilisez la com.glide.security.referrerpolicy propriété pour vous assurer que l’en-tête HTTP Referrer-Policy envoie le niveau de données approprié à chaque ServiceNow® page afin d’éviter les fuites de données.

    Utilisez la com.glide.security.referrerpolicy propriété système pour contrôler quelles informations sont incluses dans l’en-tête HTTP du référent sur Now Platform. Les données incluses dans l’en-tête référent, conformément à la politique de cette propriété, sont l’origine, le chemin et les chaînes de requête de l’URL référente complète. Ces valeurs sont les valeurs de politique de référent standardisées prises en charge par le protocole HTTP avec l’ajout de la valeur « default ». Selon la politique définie par cette propriété, l’en-tête de référent peut inclure des informations sensibles sur ou provenant de l’entité qui effectue la demande.

    Assurez-vous que la com.glide.security.referrerpolicy propriété système est définie sur l’une des valeurs suivantes : default, same-origin, origin-when-cross-origin ou strict-origin-when-cross-origin.

    En savoir plus

    Attribut Description
    Nom de la configuration com.glide.security.referrerpolicy
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données Chaîne
    Valeur recommandée Par défaut
    Valeur par défaut Par défaut
    Valeur de secours Par défaut
    Catégorie Configuration
    Risque de sécurité
    • Score de gravité : 4,3
    • Score CVSS : moyen

    • Détails du risque de sécurité : lorsque la com.glide.security.referrerpolicy propriété système est définie sur no-referrer-when-downgrade ou unsafe-url, l’en-tête de référent d’une demande à un site différent de l’origine inclut l’URL complète de la page de référence effectuant la demande. L’URL de référent complète partagée avec des sites externes peut contenir des informations sensibles provenant de votre instance ou à son sujet. Cela peut entraîner des fuites de données et des violations de la vie privée.

      Lorsque la propriété est définie sur no-referrer, origin ou strict-origin, l’en-tête référent n’est pas inclus ou inclut uniquement la partie origine de l’URL référente lorsque les demandes sont envoyées à l’origine. Ce changement peut entraver les efforts visant à tracer les chemins d’attaque dans les journaux lorsqu’un incident de sécurité se produit, car l’origine exacte d’une demande ne peut pas être déterminée facilement. Une configuration correcte de cette propriété est essentielle pour empêcher la divulgation non autorisée d’identificateurs internes ou de paramètres confidentiels tout en permettant des enquêtes sur les incidents de sécurité.
    Impact fonctionnel

    Lorsque la com.glide.security.referrerpolicy propriété système est définie sur no-referrer, origin ou strict-origin, l’en-tête référent n’est pas inclus ou inclut uniquement la partie origine de l’URL référente lorsque les demandes sont envoyées à l’origine. Ce changement peut interrompre les fonctionnalités qui nécessitent ces données.

    Certains sites comme YouTube exigent que les demandes de liens intégrés incluent au moins l’origine dans l’en-tête référent (par exemple, la politique « origin-when-cross-origin »). La valeur appropriée de cette propriété dépend du propriétaire de l’instance et du ticket d’utilisation. Celles que nous recommandons sont décrites ici. Ces stratégies sont sécurisées et n’interrompent pas les fonctionnalités du système de base. Vous trouverez plus d’informations sur ces politiques et les autres politiques standardisées à l’adresse .https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Referrer-Policy

    • default : fonctionnellement égal à définir la valeur sur same-origin
    • same-origin : envoie l’origine, le chemin et la chaîne de requête pour les demandes de même origine. N’envoie pas l’en-tête de référent pour les demandes d’origines croisées.
    • origin-when-cross-origin : lors de l’exécution d’une demande de même origine, envoie l’origine, le chemin et la chaîne de requête. Envoie uniquement l’origine des requêtes cross-origin et des requêtes vers des destinations moins sécurisées (de HTTPS à HTTP).
    • strict-origin-when-cross-origin : envoie l’origine, le chemin et la chaîne de requête lors de l’exécution d’une demande de même origine. Pour les demandes d’origine croisée, envoie l’origine uniquement lorsque le niveau de sécurité du protocole reste le même (de HTTPS à HTTPS). N’envoie pas l’en-tête référent vers des destinations moins sécurisées (de HTTPS à HTTP).
    Dépendances et prérequis Aucun
    Références Politique de référent