Jelly JS-Interpolationsschutz aktivieren

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verwenden Sie glide.ui.jelly.js_interpolation.protectEigenschaft, um sicherzustellen, dass JavaScript, das auf einer Jelly-Seite ausgeführt werden soll, mithilfe der Jelly-Interpolation vor Einschleusung geschützt ist.

    Wenn Sie die Eigenschaft auf festlegen Wahr , Eine Anwendung durchläuft eine Jelly-Skriptstruktur (geschachtelt). Er umschließt potenziell gefährliche Jelly-Ausdrücke mit einem Filter, der:
    • Escape-Zeichen für ihre Ergebnisse, um sicher zu sein, oder
    • Wenn ihre Sicherheit nicht garantiert werden kann, generiert eine SecurityException, da der Ausdruck, der ausgewertet wurde, ein mögliches Sicherheitsproblem darstellt.
    Warnung:
    Dies ist eine Safe-Harbor-Eigenschaft, d. h. der Wert kann nicht geändert werden, nachdem er geändert wurde. Sie kann nicht rückgängig gemacht werden.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.ui.jelly.js_interpolation.protect
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Um Angriffe auf die Ausführung böswilliger Codes zu mindern, die mit Jelly Injection auftreten können.
    Empfohlener Wert wahr
    Standardwert falsch
    Sicherheitsrisikobewertung 9
    Funktionale Auswirkung Diese Eigenschaft ermittelt am besten, ob ein Ausdruck in Anführungszeichen gesetzt wird. Möglicherweise wird fälschlicherweise ein legitimer Ausdruck angegeben. In diesem Fall kann es erforderlich sein, einen Ausdruck manuell als sicher zu markieren.
    Sicherheitsrisiko (Mittel) JEXL-Injektion ist eine Form der Eingabeinschleusung, die für eindeutig ist ServiceNow AI Platform Dies kann sowohl zu Cross-Site-Anforderungsfälschung als auch zur Codeausführung führen. Das vollständige Deaktivieren des Schutzes kann potenziell viele P1-Sicherheitsschwachstellen öffnen.
    Workaround

    So markieren Sie einen Ausdruck manuell als Safe, fügen Sie dem Jelly-Ausdruck EIN SAFE-Präfix hinzu:

    ${SAFE:sysparm_input};

    Das blinde Hinzufügen von SAFE zu jedem Ausdruck ist die falsche Methode, um das Problem anzugehen, da es eine Sicherheitslücke öffnen kann.
    • Fügen Sie einem Ausdruck SAFE nur hinzu, wenn Sie garantieren können, dass der Ausdruck keine Eingaben vom Client enthält.
    • Wenn dies der Fall ist, kann ein böswilliger Client die Auswertung von privilegiertem JavaScript veranlassen.
    Referenzen Jelly Tags

    Strenge Sicherheitseinstellungen

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.