リストビューでの HTML をエスケープ (セキュリティセンター 1.3 および 1.5 で更新)
glide.ui.escape_html_list_field プロパティを使用して、リストビューの HTML フィールドで強制的に HTML をエスケープします。
リストビューの HTML フィールドに HTML が表示されないようにするには、 glide.ui.escape_html_list_fieldを true に設定します。HTML のサニタイズをプラットフォーム全体に (システムプロパティを介して) またはフィールドごとに (スキーマ属性を介して) 非アクティブのままにすると、XSS スタイルの攻撃につながる可能性があります。XSS 攻撃により、権限の低いユーザーが権限の高いユーザーのセッションを乗っ取ったり、リダイレクトや改ざんなどの標準的な Web アプリケーションの動作を妨害したりする可能性があります。
警告:
これはセーフハーバープロパティです。つまり、いったん変更したら変えることはできません。元に戻すことはできません。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.ui.escape_html_list_field |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | アプリケーションでクロスサイトスクリプティング攻撃を防ぐこと |
| 推奨値 | true |
| デフォルト値 | true |
| セキュリティリスク評価 | 3.1 |
| 機能への影響 | この修正では、UI で強制的に HTML パーサーレベルで HTML エンコードが行われ、エンコードされた結果がユーザーに対してレンダリングされます。これは、結果のデータを用いたインスタンスのユーザーインタラクションに基づいて、機能に影響を与える可能性があります。 |
| セキュリティリスク | (高) クロスサイトスクリプティング攻撃から防御するために、アプリケーションで入力検証を行う必要があります。これらの攻撃により、ログインしているブラウザーのコンテキストで、ユーザーセッションで外部スクリプトが実行される可能性があります。攻撃者はこれを使用してセッション情報と機密データを盗むことができます。 |
| 参照 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。