Escape-Zeichen für JavaScript (Härtung der Instanzsicherheit)
Verwenden Sie die Eigenschaft glide.html.escape_script, um in HTML-Feldern während Listenansichten Escape-Zeichen für JavaScript-Tags (<script></script>) zu erzwingen.
HTML ist einer der Typen, die den Wörterbuchfeldern zugewiesen werden können. Durch das Zuweisen von HTML-Feldern an einen beliebigen Feldtyp wird dem Anwender die Möglichkeit gegeben, den Inhalt mithilfe von HTML-Codes zu formatieren (z. B. <p>, <a href>, <b>, <font>, <img>). Wenn Sie glide.html.escape_script auf falsesetzen, werden die Tags (<script></script>) möglicherweise angezeigt, wenn Sie diese Spalte in einer Listenansicht auswählen, während Sie eine Tabellen- oder Datensatzliste anzeigen.
Ein böswilliger Angreifer kann JavaScript-Code einfügen, indem er ihn in die Tags (<script></script>) einbettet. Der Angreifer kann einen Vorteil ausnutzen, indem er einen ausgefeilten JS-Vektor einschleust, der ausgeführt werden kann, wenn ein Benutzer den Tabellendatensatz öffnet.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.html.escape_script |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Verhinderung von Cross Site Scripting-Angriffen auf eine Anwendung |
| Empfohlener Wert | wahr |
| Funktionale Auswirkung | (Mittel) Diese Korrektur erzwingt JavaScript-Escaping in der Anwenderoberfläche und rendert codierte Ergebnisse für den Anwender. Dies kann sich je nach Interaktion des Instanzbenutzers mit den resultierenden Daten auf die Funktionalität auswirken |
| Sicherheitsrisiko | (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in einer Anwendersitzung im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen. |
| Referenzen |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.