Autorisez les liens HTML vers des domaines de confiance dans les champs de description du module de l’espace de travail Impact [nouveau dans Security Center 7.0]

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Utilisez une propriété système pour nettoyer le code HTML autorisé dans les champs de description. Cette propriété limite les liens autorisés uniquement à ceux provenant des domaines de confiance répertoriés dans la propriété.

    Remarque :
    Ce paramètre de durcissement ne fait pas partie de la base de référence de durcissement. Il n’apparaît pas dans les pages de sécurisation renforcée du Centre de sécurité et affecte votre score de sécurisation renforcée.

    Le module Impact Workspace autorise le HTML dans un certain nombre de champs liés à la description. Lorsqu’elle est configurée, la sn_impact_common.whitelisted.url_HTML_injection propriété système contient une liste de noms de domaines séparés par des virgules. Les champs de description du module de l’espace de travail d’Impact peuvent contenir des HREF avec des URL uniquement des domaines répertoriés dans la propriété.

    Assurez-vous que la sn_impact_common.whitelisted.url_HTML_injection propriété système est définie sur une liste de noms de domaines séparés par des virgules qui représentent les domaines autorisés dans les URL de référence HTTP des champs de description du module Espace de travail d’Impact.

    Pour interdire les HREF dans ces champs, définissez la propriété sur une chaîne vide. Si la propriété n’existe pas dans la table Propriétés système [sys_properties], elle utilise par défaut cette liste : servicenow.com, service-now.com, youtube.com, google.com, youtu.be, soti.net, dpdhl.sharepoint.com, documentation.avaya.com, www.juniper.net, servicenow.sharepoint.com, servicenow-my.sharepoint.com, scaledagileframework.com.

    En savoir plus

    Attribut Description
    Nom de la configuration sn_impact_common.whitelisted.url_HTML_injection
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données Liste de chaînes
    Valeur recommandée servicenow.com, service-now.com, youtube.com, google.com, youtu.be, soti.net, dpdhl.sharepoint.com, documentation.avaya.com, www.juniper.net, servicenow.sharepoint.com, servicenow-my.sharepoint.com, scaledagileframework.com
    Valeur par défaut servicenow.com, service-now.com, youtube.com, google.com, youtu.be, soti.net, dpdhl.sharepoint.com, documentation.avaya.com, www.juniper.net, servicenow.sharepoint.com, servicenow-my.sharepoint.com, scaledagileframework.com
    Valeur de secours servicenow.com, service-now.com, youtube.com, google.com, youtu.be, soti.net, dpdhl.sharepoint.com, documentation.avaya.com, www.juniper.net, servicenow.sharepoint.com, servicenow-my.sharepoint.com, scaledagileframework.com
    Catégorie Validation, nettoyage et codage
    Risque de sécurité
    • Score de gravité : 4,4
    • Score CVSS : moyen
    • Si un domaine non approuvé est ajouté à la propriété, ces champs peuvent contenir des liens vers des sources risquées pouvant entraîner des attaques par injection HTML. Le risque exact dépend de l’instance client.
    Impact fonctionnel Si la propriété est vide, aucun HREF n’est autorisé dans le texte du champ et tous les HREF sont supprimés. Tous les liens utilisant des domaines non répertoriés dans la propriété sont supprimés. Une valeur incorrecte pour ce champ peut entraîner des données corrompues pour les champs affectés.
    Dépendances et prérequis Si la sn_impact_common.blacklist_tags_HTML_injection propriété système contient des balises HTML qui entourent les liens HREF, tous les liens à l’intérieur de ces balises seront supprimés.

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.