埋め込み HTML で JavaScript タグを無効にする
glide.ui.security.codetag.allow_script プロパティを使用して、[code] タグを使用して作成された HTML JavaScript コードの埋め込みサポートを無効にします。
glide.ui.security.codetag.allow_script が推奨値の false に設定されていない場合、このプロパティによって、XSS 攻撃の余地があるジャーナルフィールドとフォームに HTML をレンダリングできます。悪意のある HTML はコードタグ間 (例:[code][/code]) の間に配置する必要があります。
glide.ui.security.codetag.allow_script プロパティがシステムプロパティ [sys_properties] テーブルに存在し、false に設定されていることを確認します。
警告:
これはセーフハーバープロパティです。つまり、いったん変更したら変えることはできません。元に戻すことはできません。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 | glide.ui.security.codetag.allow_script |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | ブーリアン |
| 推奨値 | false |
| デフォルト値 | <なし> |
| フォールバック値 | true |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| セキュリティリスク |
|
| 機能への影響 | なし |
| 依存関係と前提条件 | なし |