HTML-Links zu vertrauenswürdigen Domänen in den Beschreibungsfeldern des Impact Workspace-Moduls zulassen [Neu in Security Center 7,0]

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verwenden Sie eine Systemeigenschaft, um die in den Beschreibungsfeldern zulässige HTML zu bereinigen. Diese Eigenschaft beschränkt die zulässigen Links auf diejenigen aus den vertrauenswürdigen Domänen, die in der Eigenschaft aufgeführt sind.

    Hinweis:
    Diese Härtungseinstellung ist nicht Teil der Härtungsbasis. Sie wird nicht auf den Sicherheitscenter-Härtungsseiten angezeigt und wirkt sich auf Ihre Härtungspunktzahl aus.

    Das Modul „Impact Workspace“ ermöglicht HTML in einer Reihe von beschreibungsbezogenen Feldern. Wenn konfiguriert, wird sn_impact_common.whitelisted.url_HTML_injectionDie Systemeigenschaft enthält eine kommagetrennte Liste von Domänennamen. Beschreibungsfelder für das Modul „Impact Workspace“ dürfen HREFs mit URLs nur aus den in der Eigenschaft aufgeführten Domänen enthalten.

    Stellen Sie sicher, dass sn_impact_common.whitelisted.url_HTML_injectionDie Systemeigenschaft ist auf eine kommagetrennte Liste von Domänennamen festgelegt, die die Domänen darstellen, die in HTTP-Referenz-URLs von Beschreibungsfeldern für das Impact Workspace-Modul zulässig sind.

    Um HREFs in diesen Feldern nicht zuzulassen, legen Sie die Eigenschaft auf eine leere Zeichenfolge fest. Wenn die Eigenschaft in der Tabelle „Systemeigenschaften“ [sys_properties] nicht vorhanden ist, wird standardmäßig diese Liste verwendet: servicenow.com, service-now.com, youtube.com, google.com, youtu.be, soti.net, dpdhl.sharepoint.com, documentation.avaya.com, www.juniper.net, servicenow.sharepoint.com, servicenow-my.sharepoint.com, scaledagileframework.com .

    Weitere Informationen

    Attribut Beschreibung
    Konfigurationsname sn_impact_common.whitelisted.url_HTML_injection
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Datentyp Zeichenfolgenliste
    Empfohlener Wert servicenow.com, service-now.com, youtube.com, google.com, youtu.be, soti.net, dpdhl.sharepoint.com, documentation.avaya.com, www.juniper.net, servicenow.sharepoint.com, servicenow-my.sharepoint.com, scaledagileframework.com
    Standardwert servicenow.com, service-now.com, youtube.com, google.com, youtu.be, soti.net, dpdhl.sharepoint.com, documentation.avaya.com, www.juniper.net, servicenow.sharepoint.com, servicenow-my.sharepoint.com, scaledagileframework.com
    Fallback-Wert servicenow.com, service-now.com, youtube.com, google.com, youtu.be, soti.net, dpdhl.sharepoint.com, documentation.avaya.com, www.juniper.net, servicenow.sharepoint.com, servicenow-my.sharepoint.com, scaledagileframework.com
    Kategorie Validierung, Bereinigung und Codierung
    Sicherheitsrisiko
    • Schweregradpunktzahl: 4,4
    • CVSS-Punktzahl: Mittel
    • Wenn der Eigenschaft eine nicht vertrauenswürdige Domäne hinzugefügt wird, werden diese Felder geöffnet, um Links zu riskanten Quellen zu enthalten, die HTML-Einschleusungsangriffe auslösen können. Das genaue Risiko hängt von der Kundeninstanz ab.
    Funktionale Auswirkung Wenn die Eigenschaft leer ist, sind im Feldtext keine HREFs zulässig, und alle HREFs werden entfernt. Alle Links, die Domänen verwenden, die nicht in der Eigenschaft aufgeführt sind, werden entfernt. Ein falscher Wert für dieses Feld kann zu beschädigten Daten für die betroffenen Felder führen.
    Abhängigkeiten und Voraussetzungen Wenn sn_impact_common.blacklist_tags_HTML_injectionDie Systemeigenschaft enthält HTML-Tags, die HREF-Links umgeben. Dann werden alle Links innerhalb dieser Tags entfernt.

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.