HTML-Bereinigung aktivieren [aktualisiert in Security Center 1,3]
Verwenden Sie glide.html.sanitize_all_fieldsEigenschaft zum Aktivieren der HTMLSanitizer-Skripteinbindung, die HTML-Eingaben basierend auf Attributen „Ausschlussliste“ und „Einschlussliste“ bereinigt, die in einem Skript konfiguriert sind.
Die für Wörterbuch/Felder verfügbaren Feldtypen umfassen HTML und übersetzte HTML. Mit diesen HTML-Eingabefeldern können Anwender HTML-formatierte Eingaben schreiben, z. B.:
<h1>Testen </h1>, Mit den einfachsten HTML-Tags wie <img>, <a href …>, Und <iframe>.
Es kann eine Tür für einen böswilligen Angreifer öffnen, um schädliche Vektoren mit HTML-Tags einzuschleusen, z. B.:
[ <IMG SRC="  JavaScript:alert('XSS');">][ <IMG onmouseover="alert('xss')">],[a href="" onclick=Alert(/xss/)] .
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.html.sanitize_all_fields |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Verhindert die Anwendung vor Site-Cross-Scripting und HTML-Injection-Angriffen |
| Empfohlener Wert | wahr |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 8.8 |
| Funktionale Auswirkung | Diese Korrektur erzwingt den HTML-Ausgabecodierungsmechanismus, bevor die Anwenderdaten an den Anwender zurückgerendert werden. Wenn der Kunde eine Anpassung hat, die das Rendern des HTML-Attributs oder der Inhaltsdaten beinhaltet, hat dies Auswirkungen auf die Funktionalität. |
| Sicherheitsrisiko | (Hoch) Anwendereingaben sollten sicher behandelt werden, wenn die Daten in der Anwendung gespeichert und verarbeitet werden.Dies reduziert clientseitige Cross-Site-Skripting-Angriffe, indem die Daten mit der Ausgabe codiert werden. |
| Workaround | Diese Eigenschaft bereinigt alle HTML-Felder im System. Wenn Sie die HTML-Bereinigung für einzelne Felder aktivieren müssen, finden Sie unter Aktivieren Sie die Bereinigung einzelner Felder . Sie können auch die Aufnahme- oder Ausschlussliste konfigurieren, um HTML-Tags und Attribute gemäß Ihrer Unternehmensrichtlinie zu bereinigen. |
| Referenzen |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.