HTML in Listenansichten mit Escape-Zeichen versehen [aktualisiert in Security Center 1,3 und 1,5]
Verwenden Sie glide.ui.escape_html_list_fieldEigenschaft zum Erzwingen von HTML-Escapes für HTML-Felder in einer Listenansicht.
Festlegen glide.ui.escape_html_list_fieldBis Wahr Um zu verhindern, dass HTML in HTML-Feldern in der Listenansicht gerendert wird. Wenn die HTML-Bereinigung plattformweit (über Systemeigenschaft) oder nach Feld (über ein Schemaattribut) inaktiv bleibt, kann dies zu Angriffen im XSS-Stil führen. XSS-Angriffe können es einem Anwender mit geringen Berechtigungen ermöglichen, die Sitzung eines Anwenders mit hohen Berechtigungen zu übernehmen, oder das Verhalten von Standardwebanwendungen beeinträchtigen, einschließlich Umleitungen oder Defektionen.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.escape_html_list_field |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Um die Anwendung vor Site-übergreifenden Skripting-Angriffen zu verhindern |
| Empfohlener Wert | wahr |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 3.1 |
| Funktionale Auswirkung | Diese Korrektur erzwingt die HTML-Codierung auf der Anwenderoberfläche auf HTML-Parser-Ebene und rendert somit codierte Ergebnisse an den Anwender zurück. Dies kann basierend auf der Interaktion des Instanzanwenders mit den resultierenden Daten Auswirkungen auf die Funktionalität haben. |
| Sicherheitsrisiko | (Hoch) die Eingabevalidierung muss in der Anwendung erfolgen, um sich vor siteübergreifenden Skripting-Angriffen zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in Anwendersitzungen im Kontext des angemeldeten Browsers. Angreifer können sie verwenden, um Sitzungsinformationen und vertrauliche Daten zu stehlen. |
| Referenzen |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.