Nicht bereinigte HTML überprüfen (Instanzsicherheitshärtung)

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft com.glide.security.check_unsanitized_html, um das Bereinigungsverhalten von translated_html-Feldern auf globaler Ebene für Feldzuweisungen zu erzwingen.

    HTML ist einer der Typen, die den Wörterbuchfeldern zugewiesen werden können. Durch das Zuweisen von HTML-Feldern an einen beliebigen Feldtyp erhalten Sie die Funktionalität zum Formatieren von Inhalten mithilfe von HTML-Tags (z. B. <p>, <a href>, <b>, <font>, <img>). Um böswillige Aktivitäten zu verhindern, können bestimmte HTML-Tags mithilfe einer Sperrliste deaktiviert werden. Diese Eigenschaft verhindert, dass unzulässige Tags in „translated_html“-Feldern in Ihrer Instanz verwendet werden.
    • Legen Sie diese Eigenschaft auf „ erzwingen “ fest, um das Bereinigungsverhalten von translated_html-Feldern zu erzwingen.
    • Legen Sie die Eigenschaft auf „ deaktiviert “ fest, um die HTML-Bereinigung zu deaktivieren und blockierte HTML-Tags in „translated_html“-Feldern zuzulassen.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname com.glide.security.check_unsanitized_html
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Konfigurieren Sie im Instanz-Sicherheitszentrum Ja
    Zweck Verhindert die Verwendung unsicherer HTML-Tags zum Schutz vor Angriffen wie websiteübergreifendem Skripting.
    Typ Zeichenfolge
    Empfohlener Wert erzwingen
    Funktionale Auswirkung (Mittel) Diese Korrektur erzwingt die HTML-Bereinigung auf der Anwenderoberfläche und rendert übersetzte HTML-Felder für den Anwender. Dies kann Auswirkungen auf die Lesbarkeit und Formatierung haben.
    Sicherheitsrisiko (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in Anwendersitzungen im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen.
    Referenzen HTML-Bereinigung

    Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.