Escape-HTML (Härtung der Instanzsicherheit)
Verwenden Sie die Eigenschaft glide.ui.escape_html_list_field, um HTML-Escape-Zeichen für HTML-Felder in einer Listenansicht zu erzwingen.
HTML ist einer der Typen, die den Wörterbuchfeldern zugewiesen werden können. Die Zuweisung von HTML-Feldern zu einem beliebigen Feldtyp bietet die Funktionalität zum Formatieren von Inhalten mit HTML-Codes (z. B.
<p>, <a href>, <b>, <font>, <img>). Ein böswilliger Benutzer kann HTML-Code innerhalb des Formularfelds einfügen, um unerwünschte Skripts in verschiedenen Client-/Benutzersitzungen auszuführen. - Legen Sie diese Eigenschaft auf „ true “ fest, um ein HTML-Escaping durchzuführen, bevor die Datensätze/Felder im Browser gerendert werden, wenn die Tabelle als Listenansicht angezeigt wird.
- Wenn diese Option auf falsegesetzt ist und Sie diese Spalte in einer Listenansicht auswählen, wenn Sie eine Tabelle oder Datensatzliste anzeigen, werden diese HTML-formatierten Felder möglicherweise angezeigt.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.escape_html_list_field |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Um die Anwendung gegen websiteübergreifende Skripting-Angriffe zu schützen |
| Empfohlener Wert | Wahr |
| Funktionale Auswirkung | (Mittel) Diese Fehlerkorrektur erzwingt die HTML-Codierung in der Benutzeroberfläche auf HTML-Parser-Ebene und gibt dem Benutzer codierte Ergebnisse zurück. Sie kann sich basierend auf der Interaktion des Instanzbenutzers mit den resultierenden Daten auf die Funktionalität auswirken. |
| Sicherheitsrisiko | (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts für Benutzersitzungen im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen. |
| Referenzen |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.