Deaktivieren Sie eingebetteten HTML-Code

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.ui.security.allow_codetag, um die Unterstützung für die Einbettung von HTML-Code zu deaktivieren, der mit dem Tag [code] erstellt wurde.

    Now Platform mindert viele Einschleusungs- und Cross-Site-Angriffe durch die Implementierung von Escaping- und Codierungstechniken. Daher können Benutzer keine HTML-formatierten Eingaben für Journalfelder schreiben/übermitteln. Journalfelder können jedoch in Code-Tags eingeschlossenen Text als HTML darstellen.
    • Es besteht jedoch ein Sicherheitsrisiko. Bei Festlegung auf truekönnen böswillige Benutzer schädlichen HTML-JS-Code schreiben, der nach dem Rendern von Journalfeldern in einem anderen Client-Browser ausgeführt werden kann.
    • Setzen Sie diese Eigenschaft auf „ false “, damit Administratoren verhindern können, dass Journalfelder HTML-Code rendern, indem sie die Unterstützung für das Tag [code] deaktivieren.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.ui.security.allow_codetag
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Konfigurieren Sie im Instanz-Sicherheitszentrum Ja
    Zweck Schützen Sie sich vor websiteübergreifendem Skripting und der Ausführung böswilliger Skripts
    Empfohlener Wert false
    Sicherheitsrisikobewertung 4.2
    Funktionale Auswirkung (Mittel) Diese Fehlerkorrektur erzwingt die HTML-Codierung in der Benutzeroberfläche und rendert die codierten Ergebnisse für den Benutzer.

    Diese Eigenschaft ist standardmäßig auf „ true “ festgelegt. In diesem Status zeigt Ihre Instanz gerenderten HTML-Code in Journalfeldern und Formularen an.

    Wenn diese Eigenschaft auf „ false“ festgelegt ist, wird HTML nicht ordnungsgemäß dargestellt, und HTML-Tags werden möglicherweise in Journalfeldern in Formularen angezeigt. Dies kann sich negativ auf die Funktionalität und die Benutzerinteraktionen mit den resultierenden Daten auswirken.
    Sicherheitsrisiko (Mittel) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in einer Benutzersitzung im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen.