Stellen Sie sicher, dass die Kontextsuche keine nicht validierte Umleitung enthält [Neu in Security Center 7,0]

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verhindern Sie mit einer Systemeigenschaft, dass Ergebnisse der Kontextsuche Referral-Links außerhalb der aktuellen Domäne enthalten.

    Das Plugin „Kontextsuche“ zeigt Suchergebnisse in einem neuen Fenster mit an cxs_new_windowUI-Seite. Diese UI-Seite enthält einen Verweislink, der durch Angabe eines Werts festgelegt werden kann sysparm_url. Wenn com.snc.contextual_search.cxs_new_window.force_relative_linkSystemeigenschaft ist auf festgelegt Wahr , sysparm_urlKann nur Links enthalten, die relativ zur aktuellen Domäne sind. Diese Einschränkung verhindert, dass die UI-Seite als nicht validierte Weiterleitung zu einer von Angreifern gesteuerten Website verwendet wird. Wenn die Eigenschaft auf festgelegt ist Falsch , sysparm_urlKann mit jeder Website verknüpft werden.

    Legen Sie die Eigenschaft com.snc.contextual_search.cxs_new_window.force_relative_link auf true fest. Wenn die Eigenschaft in der Tabelle „Systemeigenschaften“ [sys_properties] nicht vorhanden ist, lautet der Standardwert Falsch . Wenn die Eigenschaft in der Tabelle vorhanden ist, ist sie standardmäßig auf festgelegt Wahr .

    Weitere Informationen

    Attribut Beschreibung
    Konfigurationsname com.snc.contextual_search.cxs_new_window.force_relative_link
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Datentyp Boolean
    Empfohlener Wert wahr
    Standardwert wahr
    Fallback-Wert falsch
    Kategorie Validierung, Bereinigung und Codierung
    Sicherheitsrisiko
    • Schweregradpunktzahl: 3,1
    • CVSS-Punktzahl: Mittel

    • Wenn auf festgelegt Falsch , sysparm_urlKann mit einer beliebigen Website verknüpft werden, wodurch die UI-Seite als nicht validierte Weiterleitung zu einer von Angreifern gesteuerten Website verwendet werden kann.
    Funktionale Auswirkung Wenn auf festgelegt Wahr , sysparm_urlDarf nur Links enthalten, die relativ zur aktuellen Domäne sind. Diese Einschränkung bedeutet, dass die UI-Seite immer nur mit Webseiten in der aktuellen Domäne verknüpft werden kann. Die UI-Seite soll jedoch Suchergebnisse aus der aktuellen Domäne anzeigen und sollte immer nur mit der aktuellen Domäne verknüpft werden.
    Abhängigkeiten und Voraussetzungen Das Plugin „Kontextsuche“ (com.snc.contextual_search) muss aktiv sein.

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.