HTML サニタイザーを有効にする (セキュリティセンター 1.3 で更新)
glide.html.sanitize_all_fields プロパティを使用して、HTMLSainitizer スクリプトインクルードを有効にし、スクリプトで構成された除外リストおよび包含リストの属性に基づいて HTML 入力をサニタイズします。
辞書/フィールドで利用可能なフィールドタイプには、HTML や翻訳された HTML などがあります。これらの HTML 入力フィールドを使用すると、次のような HTML 形式の入力を記述できます。
<img>、<a href …>、<iframe>などの最も基本的な HTML タグを使用して<h1>テスト</h1>します。
これにより、悪意のある攻撃者が次のような HTML タグを使用して悪意のあるベクトルを挿入する可能性があります。
[<IMG SRC="  JavaScript:alert('XSS');">][<IMG onmouseover="alert('xss')">],[a href="" onclick=alert(/xss/)]
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.html.sanitize_all_fields |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | アプリケーションでクロスサイトスクリプティング攻撃および HTML インジェクション攻撃を防ぐこと |
| 推奨値 | true |
| デフォルト値 | true |
| セキュリティリスク評価 | 8.8 |
| 機能への影響 | この修正では、ユーザーデータがユーザーにレンダリングされる前に、HTML 出力エンコードメカニズムが適用されます。顧客が HTML 属性またはコンテンツデータのレンダリングを伴うカスタマイズを行っている場合は、機能に影響があります。 |
| セキュリティリスク | (高) データがアプリケーションに格納および処理されるときに、ユーザー入力を安全に処理する必要があります。これにより、データの出力エンコードによるクライアント側のクロスサイトスクリプティング攻撃が低減されます。 |
| ワークアラウンド | このプロパティは、システム内のすべての HTML フィールドをサニタイズします。個々のフィールドで HTML のサニタイズを有効にする必要がある場合は、「個々のフィールドでサニタイズを有効にする」を参照してください。 包含リストまたは除外リストを設定して、組織のポリシーに従って HTML タグと属性をサニタイズすることもできます。 |
| 参照 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。