HTML-Bereinigung aktivieren [Aktualisiert in Security Center 1.5]

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.html.sanitize_all_fields, um die HTMLSanitizer-Skripteinbindung zu aktivieren, die HTML-Eingaben basierend auf den in einem Skript konfigurierten Ausschluss- und Aufnahmeattributen bereinigt.

    Die mit Dictionary/Fields verfügbaren Feldtypen umfassen HTML und übersetztes HTML. Mit diesen HTML-Eingabefeldern können Benutzer HTML-formatierte Eingaben schreiben, z. B.:

    <h1>Test</h1>) mit den einfachsten HTML-Tags wie <img>, <a href …>und <iframe>.

    Sie kann einem böswilligen Angreifer die Möglichkeit geben, schädliche Vektoren mit HTML-Tags einzuschleusen, z. B.:

    [<IMG SRC=" &#14; JavaScript:alert('XSS');">][<IMG onmouseover="alert('xss')">],[a href="" onclick=alert(/xss/)].

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.html.sanitize_all_fields
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Verhindert, dass die Anwendung Cross Site Scripting und HTML-Injektionsangriffe durchführt
    Empfohlener Wert Wahr
    Sicherheitsrisikobewertung 8.8
    Funktionale Auswirkung (Hoch) Diese Korrektur erzwingt den HTML-Ausgabecodierungsmechanismus, bevor die Benutzerdaten an den Benutzer zurückgegeben werden. Wenn der Kunde eine Anpassung hat, die das Rendern der HTML-Attribut- oder Inhaltsdaten umfasst, hat dies Auswirkungen auf die Funktionalität.
    Sicherheitsrisiko (Hoch) Benutzereingaben sollten sicher behandelt werden, wenn die Daten in der Anwendung gespeichert und verarbeitet werden. Dadurch werden clientseitige Cross-Site-Scripting-Angriffe durch Ausgabecodierung der Daten reduziert.
    Workaround

    Diese Eigenschaft bereinigt alle HTML-Felder im System. Wenn Sie die HTML-Bereinigung für einzelne Felder aktivieren müssen, finden Sie weitere Informationen unter Bereinigung einzelner Felder aktivieren.

    Sie können auch die Aufnahme- oder Ausschlussliste konfigurieren, um HTML-Tags und -Attribute gemäß den Richtlinien Ihrer Organisation zu bereinigen.
    Referenzen

    Aktivieren der HTML-Bereinigung

    HTML-Bereinigung

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.