En-têtes des réponses HTTP

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Un en-tête de réponse est une simple paire nom-valeur utilisée dans une réponse HTTP pour fournir des informations supplémentaires sur le contenu de la page ou sur la manière dont le client doit le traiter.

    Vous pouvez configurer des en-têtes de réponse HTTP pour toutes les pages ou pour des types spécifiques de pages, notamment Portail de servicesles applications , la page d’interface utilisateur et UX. La possibilité de configurer et de transmettre des en-têtes de réponse permet une gestion spéciale du contenu de la page par un client, le plus souvent un navigateur.

    Pour en savoir plus sur ce qu’est un en-tête HTTP et sur la configuration de la paire nom-valeur pour des en-têtes de réponse HTTP spécifiques, consultez :https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers

    Lors de la configuration des en-têtes de réponse, vous devez examiner la définition de l’en-tête HTTP pour déterminer comment le client gérerait le contenu de la page.
    • Par exemple, vous configurez un en-tête HTTP pour une page spécifique ou toutes les pages avec une politique de sécurité de contenu : frame-ancestors 'self' https://www.servicenow.com.
    • Lorsque vous appelez la page dans un navigateur tel que Chrome, vous pouvez l’examiner dans la section En-têtes de réponse des outils de développement Chrome.

      En-tête HTTP avec politique de sécurité de contenu : frame-ancestors 'self'

    Pour en savoir plus sur la façon dont les navigateurs gèrent une page avec des ancêtres de cadre, reportez-vous à la section https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors.

    Avertissement :
    Lorsque vous utilisez des URL avec des paires nom-valeur personnalisées, procédez avec prudence car cela présente un risque potentiel pour la sécurité. L’avenant de garantie Now Platform signé au contrat comporte une garantie implicite. Vous pouvez potentiellement ou accidentellement la remplacer lorsque vous utilisez des paires nom-valeur personnalisées dans les URL résultantes.
    • Si vous souhaitez désactiver entièrement les fonctions de configuration de l’en-tête de réponse HTTP, définissez la glide.http.headers_config.enabled propriété sur false.
    • Une fois que vous l’avez défini sur faux, Now Platform cela n’utilise aucune des configurations d’en-tête que vous avez définies dans la table sys_response_header.

    Gestion spéciale de la politique de sécurité de contenu : en-tête ancêtre de trame

    Normalement, l’en-tête Now Platform X-Frame-Options : SAMEORIGIN est automatiquement inclus.
    • Il prend en charge l’utilisation de cet en-tête dans tous les types de navigateurs, en fonction du paramètre de la glide.set_x_frame_options propriété global, qui est activée par défaut.
    • Lorsque vous configurez une page avec un en-tête Content-Security-Policy : frame-ancestor 'self' URL1 URL2, l’en-tête Now Platform X-Frame-Options : SAMEORIGIN n’inclut pas automatiquement. L’exclure permet d’éviter que le navigateur ne soit confondu, car Content-Security-Policy : frame-ancestor 'self' a déjà un effet similaire.

    Gestion spéciale de la politique de sécurité de contenu : en-tête ancêtre de trame pour Internet Explorer

    L’en-tête URL1 URL2 vous permet de configurer plusieurs sources d’URL pour inclure la page à partir d’un iFrame rendu à partir d’un site tiers. Cependant, Internet Explorer ne prend pas en charge ce type d’en-tête.
    • Au lieu de cela, Internet Explorer ne prend en charge que la directive X-Frame-Options : ALLOW-FROM URL (ALLOW-FROM) dans cet en-tête, bien que la restriction concerne une seule URL d’hôte.
    • Si vous configurez l’en-tête URL1 URL2 de l’ancêtre de trame 'self' et qu’Internet Explorer est en cours d’utilisation, l’en-tête Now Platform X-Frame-Options : ALLOW-FROM URL (ALLOW-FROM) utilise automatiquement à la place.
    Si la demande Internet Explorer inclut l’en-tête de l’URL de référence :
    • Il tente de le faire correspondre avec les URL d’hôte (format d’URL complet ou générique de type http ://*.example.com uniquement) configurées dans l’en-tête Content-Security-Policy : frame-ancestor 'self' URL1 URL2.
    • S’il y a une correspondance, incluez l’URL correspondante en tant que X-Frame-Options : ALLOW-FROM URL1.
    • S’il n’y a pas d’en-tête référent, il utilise les premières URL d’hôte non basées sur des caractères génériques configurées dans la politique de sécurité de contenu : frame-ancestor 'self' URL1 URL2 header.
    Remarque :
    Lors de la configuration des URL, n’incluez pas de barre oblique à la fin de l’URL.
    • Cet exemple de configuration incorrecte peut ne pas fonctionner correctement avec cette gestion spéciale :
      • Nom : Content-Security-Policy
      • Valeur : ancêtres de cadre 'self' https://microsoft.com/
    • Utilisez plutôt cette syntaxe correcte :
      • Nom : Content-Security-Policy
      • Valeur : frame-ancestors 'self' https://microsoft.com