HTML-Bereinigung aktivieren [In Security Center 1.3 aktualisiert]
Verwenden Sie die Eigenschaft glide.html.sanitize_all_fields, um die HTMLSanitizer-Skripteinbindung zu aktivieren, die HTML-Eingaben basierend auf den in einem Skript konfigurierten Attributen auf der Ausschluss- und Aufnahmeliste bereinigt.
Die für Dictionary/Fields verfügbaren Feldtypen sind HTML und Übersetztes HTML. Mit diesen HTML-Eingabefeldern können Anwender Eingaben im HTML-Format schreiben, z. B.:
<h1>Testen Sie</h1>mit den einfachsten HTML-Tags wie <img>, <a href …>und <iframe>.
Sie kann einem böswilligen Angreifer die Möglichkeit geben, bösartige Vektoren mit HTML-Tags einzuschleusen, z. B.:
[<IMG SRC="  JavaScript:alert('XSS');">][<IMG onmouseover="alert('xss')">],[a href="" onclick=alert(/xss/)].
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.html.sanitize_all_fields |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Verhindert Cross Site Scripting- und HTML-Einschleusungsangriffe auf die Anwendung |
| Empfohlener Wert | wahr |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 8.8 |
| Funktionale Auswirkung | Diese Korrektur erzwingt den HTML-Ausgabecodierungsmechanismus, bevor die Anwenderdaten an den Anwender zurückgegeben werden. Wenn der Kunde Anpassungen vorgenommen hat, die das Rendern des HTML-Attributs oder der Inhaltsdaten umfassen, wirkt sich dies auf die Funktionalität aus. |
| Sicherheitsrisiko | (Hoch) Anwendereingaben sollten sicher behandelt werden, wenn die Daten in der Anwendung gespeichert und verarbeitet werden. Dies reduziert clientseitige Cross Site Scripting-Angriffe durch Ausgabecodierung der Daten. |
| Workaround | Diese Eigenschaft bereinigt alle HTML-Felder im System. Wenn Sie die HTML-Bereinigung für einzelne Felder aktivieren müssen, finden Sie weitere Informationen unter Bereinigung einzelner Felder aktivieren. Sie können auch die Aufnahme- oder Ausschlussliste konfigurieren, um HTML-Tags und Attribute gemäß den Richtlinien Ihrer Organisation zu bereinigen. |
| Referenzen |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.