Spécifier la liste d’URL autorisée pour la communication cross-origin entre iFrame

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Utilisez une propriété système pour spécifier les domaines de confiance pour la communication cross-origin.

    Utilisez la propriété pour activer la glide.ui.concourse.onmessage_enforce_same_origin_whitelist communication d’origine croisée entre les iFrame à partir des domaines de confiance que vous spécifiez dans une liste d’inclusion. Cette propriété spécifie la liste des origines de confiance pour la propagation du message (envoyée via window.postMessage) dans l’interface utilisateur. Si cette propriété n’est pas définie sur une liste d’origines approuvées/autorisées pour la messagerie interdomaine, les messages d’origine croisée peuvent être autorisés à partir de domaines qui contiennent des scripts malveillants. Les valeurs de propriété doivent contenir une liste des origines, elles doivent être séparées par une virgule. Si la valeur de la propriété est vide, tous les domaines sont bloqués.

    Assurez-vous que la glide.ui.concourse.onmessage_enforce_same_origin_whitelist propriété système contient uniquement une liste de domaines de confiance à utiliser pour la messagerie d’origine croisée. Si la liste est vide, aucun domaine n’est autorisé.

    En savoir plus

    Attribut Description
    Nom de la configuration glide.ui.concourse.onmessage_enforce_same_origin_whitelist
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données Chaîne
    Valeur recommandée une liste de domaines de confiance séparés par des virgules ou vide
    Valeur par défaut vide
    Valeur de secours vide
    Catégorie Contrôle d'accès
    Risque de sécurité
    • Score de gravité : 4,2
    • Score CVSS : moyen
    • Détails du risque de sécurité : des origines de confiance non valides peuvent permettre à des domaines non approuvés d’injecter des charges utiles malveillantes via window.postMessage, entraînant des attaques d’origine croisée telles que l’exfiltration de données, le détournement de session, la manipulation de l’interface utilisateur ou le XSS basé sur les DOM. Si une page Web contient des gestionnaires d’événements qui n’effectuent pas la validation d’origine appropriée, une page Web ou un script de n’importe quelle origine peut communiquer avec elle. Elle peut également lancer toute fonctionnalité exécutée par le gestionnaire d’événements. La communication avec des iFrame d’autres domaines constitue un risque pour la sécurité.
    Impact fonctionnel Si vous n’ajoutez pas les domaines prévus à la liste d’inclusion, les messages d’origine croisée de ce domaine ne sont pas autorisés.
    Dépendances et prérequis Aucun