JavaScript mit Escape-Zeichen versehen (Härtung der Instanzsicherheit)
Verwenden Sie die Eigenschaft glide.html.escape_script, um in Listenansichten Escape-Zeichen für JavaScript-Tags (<script></script>) in HTML-Feldern zu erzwingen.
HTML ist einer der Typen, die den Wörterbuchfeldern zugewiesen werden können. Die Zuweisung von HTML-Feldern zu einem beliebigen Feldtyp bietet dem Benutzer die Funktionalität, den Inhalt mit HTML-Codes zu formatieren (z. B. <p>, <a href>, <b>, <font>, <img>). Wenn Sie glide.html.escape_script auf falsefestlegen, werden die Tags (<script></script>) möglicherweise angezeigt, wenn Sie diese Spalte in einer Listenansicht auswählen, während Sie eine Tabellen- oder Datensatzauflistung anzeigen.
Ein böswilliger Angreifer kann JavaScript-Code einfügen, indem er ihn in die Tags (<script></script>) einbettet. Der Angreifer kann dies ausnutzen, indem er einen ausgefeilten JS-Vektor einfügt, der ausgeführt werden kann, wenn ein Benutzer den Tabellendatensatz öffnet.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.html.escape_script |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Um websiteübergreifende Skripting-Angriffe auf eine Anwendung zu verhindern. |
| Empfohlener Wert | Wahr |
| Funktionale Auswirkung | (Mittel) Diese Fehlerkorrektur erzwingt JavaScript-Escaping in der Benutzeroberfläche und rendert codierte Ergebnisse für den Benutzer. Dies kann sich basierend auf der Instanzbenutzerinteraktion mit den resultierenden Daten auf die Funktionalität auswirken |
| Sicherheitsrisiko | (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in der Benutzersitzung im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen. |
| Referenzen |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.