Désactiver les balises JavaScript dans le HTML intégré [Mis à jour dans Centre de sécurité 1.3]
Utilisez la propriété pour désactiver la prise en charge de l’incorporation glide.ui.security.codetag.allow_script du code JavaScript HTML créé à l’aide de la balise [code].
Il ServiceNow AI Platform atténue de nombreuses attaques par injection et cross-site en mettant en œuvre des techniques d’échappement et d’encodage. Par conséquent, les utilisateurs ne peuvent pas écrire et soumettre des entrées au format HTML pour les champs journal. Toutefois, les champs journaux peuvent afficher le texte inclus dans les balises de code au format HTML. Assurez-vous que la propriété existe dans la table sys_properties et qu’elle glide.ui.security.codetag.allow_script est définie sur faux.
- Cependant, il existe un risque de sécurité associé. Si la valeur est définie sur vrai, les utilisateurs malveillants peuvent écrire du code JavaScript HTML nuisible qui peut être exécuté sur un navigateur client différent après le rendu des champs de journal.
- Définissez cette propriété sur faux afin que les administrateurs puissent empêcher les champs journaux de rendre du code JavaScript HTML en désactivant la prise en charge de la balise
[code].
Avertissement :
Il s’agit d’une propriété de la sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.ui.security.codetag.allow_script |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Protège contre le script de site à site et l’exécution de scripts malveillants |
| Valeur recommandée | Faux |
| Valeur par défaut | Faux |
| Cote de risque de sécurité | 8.8 |
| Impact fonctionnel | Cette remédiation impose l’échappement de JavaScript dans l’interface utilisateur et rend les résultats encodés à l’utilisateur. Elle peut avoir un impact fonctionnel basé sur l’interaction de l’utilisateur de l’instance avec les données obtenues. |
| Risque de sécurité | (Élevé) La validation de l’entrée doit avoir lieu dans l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur la session utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles. |
| Références | Restreindre la balise CODE dans les champs de journal |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.