JavaScript-Tags in eingebettetem HTML deaktivieren [aktualisiert im Sicherheitscenter 1,3]
Verwenden Sie glide.ui.security.codetag.allow_scriptEigenschaft zum Deaktivieren der Unterstützung für die Einbettung von HTML-JavaScript-Code, der mit dem Tag [Code] erstellt wurde.
Die ServiceNow AI Platform Mildert viele Einschleusungen und standortübergreifende Angriffe durch Implementierung von Escape- und Codierungstechniken ab. Daher können Anwender keine HTML-formatierten Eingaben für Journalfelder schreiben und übermitteln. Journalfelder können jedoch Text, der in Code-Tags eingeschlossen ist, als HTML rendern. Stellen Sie sicher, dass glide.ui.security.codetag.allow_scriptEigenschaft ist in der Tabelle „sys_properties“ vorhanden und auf „falsch“ festgelegt.
- Es besteht jedoch ein entsprechendes Sicherheitsrisiko. Wenn auf festgelegt Wahr , Böswillige Anwender können schädlichen HTML-JavaScript-Code schreiben, der nach dem Rendern von Journalfeldern in einem anderen Client-Browser ausgeführt werden kann.
- Legen Sie diese Eigenschaft auf fest Falsch Damit Administratoren verhindern können, dass Journalfelder HTML-JavaScript-Code rendern, indem sie die Unterstützung für deaktivieren
[Code]Tag.
Warnung:
Dies ist eine Safe-Harbor-Eigenschaft, d. h. der Wert kann nicht geändert werden, nachdem er geändert wurde. Sie kann nicht rückgängig gemacht werden.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.security.codetag.allow_script |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Schützt vor Site-übergreifendem Skripting und böswilliger Skriptausführung |
| Empfohlener Wert | falsch |
| Standardwert | falsch |
| Sicherheitsrisikobewertung | 8.8 |
| Funktionale Auswirkung | Diese Fehlerkorrektur erzwingt das JavaScript-Escaping auf der Anwenderoberfläche und rendert die codierten Ergebnisse für den Anwender. Dies kann basierend auf der Interaktion des Instanzanwenders mit den resultierenden Daten Auswirkungen auf die Funktionalität haben. |
| Sicherheitsrisiko | (Hoch) die Eingabevalidierung muss in der Anwendung erfolgen, um sich vor siteübergreifenden Skripting-Angriffen zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in der Anwendersitzung im Kontext des angemeldeten Browsers. Angreifer können sie verwenden, um Sitzungsinformationen und vertrauliche Daten zu stehlen. |
| Referenzen | Beschränken Sie das CODE-Tag in Journalfeldern |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.