JavaScript-Tags in eingebettetem HTML deaktivieren [Aktualisiert in Security Center 1.3]

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.ui.security.codetag.allow_script, um die Unterstützung für das Einbetten von HTML-JavaScript-Code zu deaktivieren, der mit dem [code]-Tag erstellt wurde.

    Now Platform entschärft viele Einschleusungs- und websiteübergreifende Angriffe durch die Implementierung von Escaping- und Codierungstechniken. Daher können Anwender keine HTML-formatierten Eingaben für Journalfelder schreiben und übermitteln. Journalfelder können jedoch Text, der in Code-Tags eingeschlossen ist, als HTML rendern. Stellen Sie sicher, dass die Eigenschaft glide.ui.security.codetag.allow_script in der Tabelle „sys_properties“ vorhanden und auf „falsch“ festgelegt ist.
    • Es ist jedoch ein Sicherheitsrisiko verbunden. Bei Festlegung auf wahrkönnen böswillige Anwender schädlichen HTML-JavaScript-Code schreiben, der nach dem Rendern von Journalfeldern in einem anderen Client-Browser ausgeführt werden kann.
    • Legen Sie diese Eigenschaft auf „falsch“ fest, damit Administratoren verhindern können, dass Journalfelder HTML-JavaScript-Code rendern, indem sie die Unterstützung für das [code] -Tag deaktivieren.
    Warnung:
    Dies ist eine Safe-Harbor-Eigenschaft. Das bedeutet, dass der Wert nicht geändert werden kann, nachdem er geändert wurde. Er kann nicht rückgängig gemacht werden.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.ui.security.codetag.allow_script
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Schützt vor websiteübergreifendem Skripting und der Ausführung böswilliger Skripts
    Empfohlener Wert falsch
    Standardwert falsch
    Sicherheitsrisikobewertung 8.8
    Funktionale Auswirkung Diese Korrektur erzwingt JavaScript-Escaping in der Anwenderoberfläche und rendert die codierten Ergebnisse für den Anwender. Sie kann basierend auf der Interaktion des Instanzanwenders mit den resultierenden Daten Auswirkungen auf die Funktionalität haben.
    Sicherheitsrisiko (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in der Anwendersitzung im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen.
    Referenzen

    Beschränken Sie das CODE-Tag in Journalfeldern

    Journalfeldeinträge als HTML rendern

    Strenge Sicherheitseinstellungen

    Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.