HTML d’échappement dans les vues de listes [Mise à jour dans Security Center 1.3]

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez la propriété pour forcer les glide.ui.escape_html_list_field caractères d’échappement HTML pour les champs HTML d’une vue de liste.

    HTML est l’un des types qui peuvent être affectés aux champs du dictionnaire. L’affectation de champs HTML à n’importe quel type de champ permet de mettre en forme le contenu à l’aide de codes HTML (par exemple, <p>, , <font><a href><b><img>, ). Un utilisateur malveillant peut injecter du code HTML dans le champ de formulaire pour exécuter des scripts indésirables sur différentes sessions client/utilisateur.
    • Définissez cette propriété sur faux pour effectuer une fuite HTML avant que les enregistrements/champs ne soient affichés dans le navigateur lorsque la table apparaît en tant que vue de liste.
    • Si la valeur est définie sur vrai et que vous sélectionnez cette colonne dans une vue de liste lors de l’affichage d’une liste de tables ou d’enregistrements, ces champs au format HTML peuvent apparaître.
    Avertissement :
    Il s’agit d’une propriété de sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.ui.escape_html_list_field
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, nettoyage et codage
    Objectif Pour protéger les applications contre les attaques de script de site à site
    Valeur recommandée VRAI
    Valeur par défaut VRAI
    Cote de risque de sécurité 8.8
    Impact fonctionnel (Moyen) Cette correction applique le codage HTML sur l’interface utilisateur au niveau de l’analyseur HTML, ce qui renvoie les résultats codés à l’utilisateur. Elle peut avoir un impact sur la fonctionnalité en fonction de l’interaction de l’utilisateur de l’instance avec les données résultantes.
    Risque de sécurité (Élevé) La validation de l’entrée doit avoir lieu sur l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur les sessions utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles.
    Références

    Paramètres de sécurité élevée

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.