コンテキスト検索に未検証のリダイレクトが含まれていないことを確認する (Security Center 7.0 の新機能)
コンテキスト検索の結果に、システムプロパティを使用して現在のドメイン外の参照リンクが含まれないようにします。
コンテキスト検索プラグインでは、 cxs_new_window UI ページを使用して、検索結果を新しいウィンドウに表示します。この UI ページには、 sysparm_url に値を指定することで設定できる紹介リンクが含まれています。com.snc.contextual_search.cxs_new_window.force_relative_link システムプロパティが true に設定されている場合、sysparm_urlには現在のドメインに関連するリンクのみを含めることができます。この制限により、UI ページが攻撃者が制御する Web サイトへの未検証のリダイレクトとして使用されるのを防ぐことができます。プロパティが false に設定されている場合、 sysparm_url 任意の Web サイトにリンクできます。
com.snc.contextual_search.cxs_new_window.force_relative_link プロパティを [true] に設定します。システムプロパティ [sys_properties] テーブルにプロパティが存在しない場合、デフォルト値は false です。プロパティがテーブルに存在する場合、デフォルトは true です。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 | com.snc.contextual_search.cxs_new_window.force_relative_link |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | ブーリアン |
| 推奨値 | true |
| デフォルト値 | true |
| フォールバック値 | false |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| セキュリティリスク |
|
| 機能への影響 | true に設定すると、現在のドメインに関連するリンクのみを含めるsysparm_urlが許可されます。この制限は、UI ページが現在のドメインの Web ページにのみリンクできることを意味します。ただし、UI ページは現在のドメインからの検索結果を表示することを目的としており、現在のドメインにのみリンクする必要があります。 |
| 依存関係と前提条件 | コンテキスト検索 (com.snc.contextual_search) プラグインがアクティブである必要があります。 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。