Eingebetteten HTML-Code zulassen (Härtung der Instanzsicherheit)

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.ui.security.allow_codetag, um die Unterstützung für das Einbetten von HTML-Code zu deaktivieren, der mit dem Tag [code] erstellt wurde.

    Now Platform entschärft viele Einschleusungs- und websiteübergreifende Angriffe durch die Implementierung von Escaping- und Codierungstechniken. Daher können Anwender keine HTML-formatierten Eingaben für Journalfelder schreiben/senden. Journalfelder können jedoch Text, der in Code-Tags eingeschlossen ist, als HTML rendern.
    • Es ist jedoch ein Sicherheitsrisiko verbunden. Bei Festlegung auf wahrkönnen böswillige Anwender schädlichen HTML JS-Code schreiben, der nach dem Rendern von Journalfeldern in einem anderen Client-Browser ausgeführt werden kann.
    • Legen Sie diese Eigenschaft auf „ falsch “ fest, damit Administratoren verhindern können, dass Journalfelder HTML-Code rendern, indem sie die Unterstützung für das [code] -Tag deaktivieren.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.ui.security.allow_codetag
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Konfigurieren Sie im Instanz-Sicherheitszentrum Ja
    Zweck Schützen Sie sich vor websiteübergreifendem Skripting und der Ausführung schädlicher Skripts
    Empfohlener Wert falsch
    Funktionale Auswirkung (Mittel) Diese Korrektur erzwingt die HTML-Codierung auf der Anwenderoberfläche und rendert die codierten Ergebnisse für den Anwender.

    Diese Eigenschaft ist standardmäßig auf „ true “ festgelegt. In diesem Status zeigt Ihre Instanz gerenderten HTML-Code in Journalfeldern und Formularen an.

    Wenn diese Eigenschaft auf „ false“ festgelegt ist, wird HTML nicht ordnungsgemäß gerendert, und HTML-Tags werden möglicherweise in Journalfeldern in Formularen angezeigt. Dies kann sich nachteilig auf die Funktionalität und die Benutzerinteraktionen mit den resultierenden Daten auswirken.
    Sicherheitsrisiko (Mittel) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in einer Benutzersitzung im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen.
    Referenzen

    Beschränken Sie das CODE-Tag in Journalfeldern

    Journalfeldeinträge als HTML rendern

    Strenge Sicherheitseinstellungen

    Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.