En-têtes des réponses HTTP

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Un en-tête de réponse est une simple paire nom-valeur utilisée dans une réponse HTTP pour fournir des informations supplémentaires sur le contenu de la page ou sur la façon dont le client doit la traiter.

    Vous pouvez configurer des en-têtes de réponse HTTP pour toutes les pages, ou pour certains types de pages, notamment Portail de services les applications , Page d’interface utilisateur ou UX. La possibilité de configurer et de transmettre des en-têtes de réponse permet une gestion spéciale du contenu de la page par un client, le plus souvent un navigateur.

    Pour en savoir plus sur ce qu’est un en-tête HTTP et sur la configuration de la paire nom-valeur pour des en-têtes de réponse HTTP spécifiques, consultez :https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers

    Lors de la configuration des en-têtes de réponse, vous devez examiner la définition de l’en-tête HTTP pour déterminer comment le client gérerait le contenu de la page.
    • Par exemple, vous configurez un en-tête HTTP pour une page spécifique ou toutes les pages avec une politique de sécurité de contenu : frame-ancestors 'self' https://www.servicenow.com.
    • Lorsque vous appelez la page dans un navigateur tel que Chrome, vous pouvez l’examiner dans la section En-têtes de réponse des outils de développement Chrome.

      En-tête HTTP avec Content-Security-Policy : frame-ancestors 'self'

    Pour en savoir plus sur la façon dont les navigateurs gèrent une page avec des ancêtres de cadres, reportez-vous à la section https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors.

    Avertissement :
    Lorsque vous utilisez des URL avec des paires nom-valeur personnalisées, procédez avec prudence car cela présente un risque de sécurité potentiel. L’avenant de sécurité signé au ServiceNow AI Platform contrat comporte une sécurité implicite. Vous pouvez potentiellement ou accidentellement la remplacer lorsque vous utilisez des paires nom-valeur personnalisées dans les URL résultantes.
    • Si vous souhaitez désactiver entièrement les fonctions de configuration de l’en-tête de réponse HTTP, définissez la glide.http.headers_config.enabled propriété sur false.
    • Une fois que vous l’avez défini sur faux, ServiceNow AI Platform n’utilise aucune des configurations d’en-tête que vous avez définies dans la table sys_response_header.

    Gestion spéciale de la politique de sécurité de contenu : en-tête frame-ancestor

    Normalement, le ServiceNow AI Platform inclut automatiquement l’en-tête X-Frame-Options : SAMEORIGIN.
    • Cet en-tête est pris en charge dans tous les types de navigateurs, en fonction du paramètre de la glide.set_x_frame_options propriété globale, qui est activée par défaut.
    • Lorsque vous configurez une page avec un en-tête URL1 URL2 Content-Security-Policy : frame-ancestor 'self', il n’inclut pas automatiquement l’en-tête ServiceNow AI Platform X-Frame-Options : SAMEORIGIN. L’exclure évite que le navigateur ne soit confus, car Content-Security-Policy : frame-ancestor 'self' a déjà un effet similaire.

    Gestion spéciale de Content-Security-Policy : en-tête frame-ancestor pour Internet Explorer

    L’en-tête URL1 URL2 vous permet de configurer plusieurs sources URL pour inclure la page à partir d’un iFrame rendu à partir d’un site tiers. Cependant, Internet Explorer ne prend pas en charge ce type d’en-tête.
    • Au lieu de cela, Internet Explorer ne prend en charge que la directive X-Frame-Options : ALLOW-FROM URL (ALLOW-FROM) dans cet en-tête, bien que la restriction soit pour une URL d’hôte unique.
    • Si vous configurez l’en-tête URL1 URL2 'self' et qu’Internet Explorer est utilisé, il ServiceNow AI Platform utilise automatiquement l’en-tête X-Frame-Options : ALLOW-FROM URL (ALLOW-FROM) à la place.
    Si la demande Internet Explorer inclut l’en-tête de l’URL référente :
    • Il tente de le faire correspondre avec les URL hôtes (format d’URL de type http ://*.example.com complet ou générique uniquement) configurées dans l’en-tête Content-Security-Policy : frame-ancestor 'self' URL1 URL2.
    • S’il existe une correspondance, incluez l’URL correspondante en tant que X-Frame-Options : ALLOW-FROM URL1.
    • S’il n’y a pas d’en-tête référent, il utilise les premières URL hôtes non génériques configurées dans l’en-tête URL1 URL2 Content-Security-Policy : frame-ancestor 'self'.
    Remarque :
    Lors de la configuration des URL, n’incluez pas de barre oblique à la fin de l’URL.
    • Cet exemple d’une configuration incorrecte qui peut ne pas fonctionner correctement avec cette gestion spéciale :
      • Nom : content-security-policy
      • Valeur : les ancêtres du cadre 'self' https://microsoft.com/
    • Utilisez plutôt cette syntaxe correcte :
      • Nom : content-security-policy
      • Valeur : frame-ancestors 'self' https://microsoft.com