Eingebetteten HTML-Code zulassen (Härtung der Instanzsicherheit)

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.ui.security.allow_codetag, um die Unterstützung für die Einbettung von HTML-Code zu deaktivieren, der mit dem Tag [code] erstellt wurde.

    Now Platform mindert viele Einschleusungs- und Cross-Site-Angriffe durch die Implementierung von Escaping- und Codierungstechniken. Daher können Benutzer keine HTML-formatierten Eingaben für Journalfelder schreiben/übermitteln. Journalfelder können jedoch in Code-Tags eingeschlossenen Text als HTML darstellen.
    • Es besteht jedoch ein Sicherheitsrisiko. Bei Festlegung auf truekönnen böswillige Benutzer schädlichen HTML-JS-Code schreiben, der nach dem Rendern von Journalfeldern in einem anderen Client-Browser ausgeführt werden kann.
    • Setzen Sie diese Eigenschaft auf „ false “, damit Administratoren verhindern können, dass Journalfelder HTML-Code rendern, indem sie die Unterstützung für das Tag [code] deaktivieren.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.ui.security.allow_codetag
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Konfigurieren Sie im Instanz-Sicherheitszentrum Ja
    Zweck Schützen Sie sich vor websiteübergreifendem Skripting und der Ausführung böswilliger Skripts
    Empfohlener Wert false
    Funktionale Auswirkung (Mittel) Diese Fehlerkorrektur erzwingt die HTML-Codierung in der Benutzeroberfläche und rendert die codierten Ergebnisse für den Benutzer.

    Diese Eigenschaft ist standardmäßig auf „ true “ festgelegt. In diesem Status zeigt Ihre Instanz gerenderten HTML-Code in Journalfeldern und Formularen an.

    Wenn diese Eigenschaft auf „ false“ festgelegt ist, wird HTML nicht ordnungsgemäß dargestellt, und HTML-Tags werden möglicherweise in Journalfeldern in Formularen angezeigt. Dies kann sich negativ auf die Funktionalität und die Benutzerinteraktionen mit den resultierenden Daten auswirken.
    Sicherheitsrisiko (Mittel) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in einer Benutzersitzung im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen.
    Referenzen

    Beschränken Sie das CODE-Tag in Journalfeldern

    Journalfeldeinträge als HTML darstellen

    Strenge Sicherheitseinstellungen

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.