Durchsuchen der HTML-Bereinigung

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Entfernen Sie unerwünschten Code, und schützen Sie sich vor Sicherheitsbedrohungen wie Angriffen mit websiteübergreifendem Skripting, indem Sie HTML-Markup in HTML-Feldern und übersetzten HTML-Feldern bereinigen.

    Verwenden Sie die HTML-Bereinigung, um sicherzustellen, dass HTML-Inhalte in Ihrer Instanz keine potenziell schädlichen Inhalte enthalten. Bei der HTML-Bereinigung werden HTML-Tags entfernt, die dazu verwendet werden könnten, Ihre Instanz zu gefährden, z. B. <![CDATA[<script> ]]>-, <link>- oder <embed> -Tags, die dazu verwendet werden können, unerwünschte Skripts in Ihrer Instanz auszuführen oder Benutzer zu unerwünschten Inhalten zu leiten. Sichere Tags, die die Formatierung Ihrer Inhalte steuern, bleiben erhalten. Als Administrator können Sie anpassen, welche Inhalte entfernt oder beibehalten werden. Sie können auch steuern, ob die Bereinigung für alle Inhalte oder nur für von Ihnen angegebene Felder gilt.

    Die HTML-Bereinigung überprüft die integrierte Aufnahmeliste auf Markup, das Sie immer beibehalten möchten. Der Sanitizer stellt die HTMLSanitizerConfig -Skripteinbindung bereit, mit der Administratoren die integrierte Aufnahmeliste ändern können. Elemente können auch der Ausschlussliste hinzugefügt werden, um HTML-Markup zu entfernen. Der Inhalt der Ausschlussliste überschreibt die Aufnahmeliste.

    Die folgenden Arten von Elementen können den Aufnahme- und Ausschlusslisten hinzugefügt werden:
    • Globale Attribute
    • Beliebige HTML-Elemente
    Hinweis:
    Standardmäßig unterstützen URL-Attribute wie href und src nur die folgenden Protokolle:
    • http
    • https
    • mailto
    • Daten
    Beispiel: 
    <a href="https://community.servicenow.com/community">ServiceNow Community</a>
    Hinweis:
    Weitere Informationen zur Eigenschaft glide.html.sanitize_all_fields, die die Verwendung der HTML-Bereinigung steuert, finden Sie unter HTML-Bereinigung in den Härtungseinstellungen für die Instanzsicherheit.

    Konfigurieren Sie urlAttributes und die Protokolle

    Sie können urlAttributes und ihre Protokolle in der HTMLSanitizer -Skripteinbindung konfigurieren. Beispiel:

    HTML_WHITELIST : {
urlAttributes: { "protocols" : [ "file", "notes" ] },
                -  -
                -  -
        }

    Da sich Notizen in diesem Beispiel in der Aufnahmeliste befinden, wird diese URL nicht bereinigt:

    <a title=“Lotus” href=“Notes://ABC/X575C90019DE33/ABC594DCB76D86EB4925653E0011C4C1/ZZ90B7E2D33964749257EEA003456FD”>Lotus</a></p>

    Standardaufnahmeliste

    Hinweis:
    Die Standardaufnahmeliste ist eine Systemliste, auf die Benutzer in der Instanz nicht zugreifen können.
    BUILTIN_HTML_WHITELIST :{
 
    globalAttributes:{ attribute:["id","class","lang","title","style"],
 
                                 attributeValuePattern:{}},
 
    label:{ attribute:["for"]},
 
    font:{ attribute:["color","face","size"]},
 
    a:{ attribute:["href","nohref","name","shape"]},
 
    img:{ attribute:["src","name","alt","border","hspace","vspace","align","height","width"},
 
    table:{ attribute:["border","cellpadding","cellspacing","bgcolor","background","align","no resize","height","width","summary","frame","rules"]},
 
    th:{ attribute:["background","bgcolor","abbr","axis","headers","scope","nowrap","height","width","align","valign","char off","char","colspan","rowspan"]},
 
    td:{ attribute:["background","bgcolor","abbr","axis","headers","scope","nowrap","height","width","align","valign","char off","char","colspan","rowspan"]},
 
    tr:{ attribute:["background","height","width","align","valign","char off","char"]},
 
    thead:{attribute:["align","valign","char off","char"]}, 
 
    tbody:{attribute:["align","valign","char off","char"]}, 
 
    tfoot:{attribute:["align","valign","char off","char"]}, 
 
    colgroup:{attribute:["align","valign","char off","char","span","width"]}, 
 
    col:{attribute:["align","valign","char off","char","span","width"]},
 
    p:{attribute:["align"]},
 
    style:{attributeValuePattern:{"type":"text/css"}}
 
    canvas:{ attribute:["height","width"]},
 
    details:{ attribute:["open"]},
 
    summary:{ attribute:["open","valign","char off","char"]},
 
    button:{ attribute:["disabled","accesskey","type"]},
 
    form:{},
 
    input:{ attribute:["size","maxlength","checked","alt","src","type","disabled","readonly","accesskey","border","usemap"]},
 
    select:{ attribute:["disabled","multiple","size"]},
 
    textarea:{ attribute:["rows","cols","disabled","readonly","accesskey"]},
 
    option:{ attribute:["disabled","label","selected"]},
 
    div:{ attribute:["align"]},
 
    ol:{ attribute:["start","type","square"]},
 
    ul:{ attribute:["type","square","itemscope","itemtype","itemref"]},
 
    li:{ attribute:["value","fb__id","itemprop"]},
 
    span:{ attribute:["color","size","data-mce-bogus","itemprop","face"]},
 
    br:{ attribute:["clear"]},
 
    h3:{ attribute:["itemprop"]},
 
    html:{ attribute:["xmlns","lang","xml:lang"]},
 
    link:{ attribute:["rel","type","href","charset"]},
 
    meta:{ attribute:["name","content","scheme","charset","http-equiv"]},
 
    pre:{ attribute:["xml:space"]},
 
    noscript:{},    h1:{},    h2:{},      h4:{},    h5:{},    h6:{},   
 
    i:{},    b:{},    u:{},    strong:{},    em:{},    small:{},    big:{},   
 
    pre:{},    code:{},    cite:{},    samp:{},    sub:{},    sup:{},    
 
    strike:{},   center:{},  blockquote:{},    hr:{},      map:{},
 
    dd:{},    dt:{},    dl:{},  fieldset:{},    legend:{}, figure:{},  tt:{},
 
    body:{},   caption:{},   head:{},   title:{},  shape:{},},