이스케이프 XML(인스턴스 보안 강화)
이 glide.ui.escape_text 속성은 XML 값을 클라이언트의 브라우저로 전송하기 전에 파서 수준에서 강제로 이스케이프합니다.
주:
이 속성은 이후 릴리스에서 Vancouver 기본적으로 true로 설정되며 관리자가 변경할 수 없습니다. 속성을 변경해야 하는 사용 사례의 경우 고객 지원에 문의하십시오.
교차 사이트 스크립팅은 공격자가 진입점에 악성 JavaScript를 삽입할 때 발생합니다. 플랫폼/응용 프로그램은 실행을 위해 피해자의 브라우저로 전송하기 전에 악성 JavaScript를 이스케이프하지 못합니다. 이 컨텍스트에서 이스케이프는 다음을 의미합니다.
- & -->
& - < -->
< - > -->
> - " -->
" - ' -->
' - / -->
/
예: <![CDATA[<script>alert('XSS Attack');]] >
이스케이프 : <script>alert ( 'XSS 공격'); </스크립트>
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.ui.escape_text |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 인스턴스 보안 센터에서 구성 | 예 |
| 목적 | XML을 이스케이프하면 브라우저가 신뢰할 수 없는 데이터에 포함된 악성 JavaScript를 구문 분석하지 않고 JavaScript로 실행합니다.
|
| 권장 값 | true |
| 기능적 영향 | (중간) 이 수정은 UI의 XML 파서 수준에서 XML 인코딩을 적용합니다. 인코딩된 결과를 사용자에게 렌더링하며, 결과 데이터와 인스턴스 사용자의 상호작용에 따라 기능에 영향을 미칠 수 있습니다. |
| 보안 위험 | (높음) 교차 사이트 스크립팅 공격을 방어하기 위해 응용 프로그램에서 입력 유효성 검사를 수행해야 합니다. 이러한 공격을 통해 외부 스크립트가 로그인된 브라우저의 컨텍스트에서 사용자 세션에서 실행될 수 있습니다. 공격자는 이를 사용하여 세션 정보와 중요한 데이터를 훔칠 수 있습니다. |
| 임시 해결책 | 이 속성을 true로 설정하면 카탈로그 항목 설명이나 카탈로그 항목 변수 도움말 텍스트의 HTML 태그에서 렌더링이 중지됩니다. 일부 필드에는 HTML 서식을 사용하지 못할 수도 있습니다. 그러나 속성이 켜져 있으면 glide.ui.escape_text 모든 JEXL 표현식에 출력 인코더가 접두사로 붙습니다.
또는
|
| 참조 |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 을 참조하십시오 Add a system property.