HTML in Listenansichten codieren [Aktualisiert in Security Center 1.3 und 1.5]
Verwenden Sie die Eigenschaft glide.ui.escape_html_list_field, um HTML-Escape-Zeichen für HTML-Felder in einer Listenansicht zu erzwingen.
Diese Eigenschaft hilft beim Bereinigen der Listenansicht, die HTML-Felder anzeigt. Wenn glide.ui.escape_html_list_field nicht auf den empfohlenen Wert „true“ festgelegt ist, kann ein böswilliger Benutzer HTML-Code im Formularfeld einschleusen, um unerwünschte Skripts in anderen Client-/Benutzersitzungen auszuführen. Dies kann potenziell von Angreifern genutzt werden, um Sitzungsinformationen und vertrauliche Daten zu stehlen.
Warnung:
Dies ist eine Safe-Harbor-Eigenschaft. Das bedeutet, dass der Wert nicht geändert werden kann, nachdem er geändert wurde. Er kann nicht rückgängig gemacht werden.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.escape_html_list_field |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Um die Anwendung gegen websiteübergreifende Skripting-Angriffe zu schützen |
| Empfohlener Wert | wahr |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 8.8 |
| Funktionale Auswirkung | Diese Korrektur erzwingt die HTML-Codierung in der Anwenderoberfläche auf HTML-Parser-Ebene und gibt dem Anwender codierte Ergebnisse zurück. Sie kann basierend auf der Interaktion des Instanzanwenders mit den resultierenden Daten Auswirkungen auf die Funktionalität haben. |
| Sicherheitsrisiko | (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in Anwendersitzungen im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen. |
| Referenzen |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.