HTML in Listenansichten codieren [Aktualisiert in Security Center 1.3]

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.ui.escape_html_list_field, um HTML-Escape-Zeichen für HTML-Felder in einer Listenansicht zu erzwingen.

    HTML ist einer der Typen, die den Wörterbuchfeldern zugewiesen werden können. Durch das Zuweisen von HTML-Feldern an einen beliebigen Feldtyp erhalten Sie die Funktionalität zum Formatieren von Inhalten mithilfe von HTML-Codes (z. B. <p>, <a href>, <b>, <font>, <img>). Ein böswilliger Anwender kann HTML-Code in das Formularfeld einschleusen, um unerwünschte Skripts in verschiedenen Client-/Benutzersitzungen auszuführen.
    • Legen Sie diese Eigenschaft auf „ falsch “ fest, um ein HTML-Escaping auszuführen, bevor die Datensätze/Felder im Browser gerendert werden, wenn die Tabelle als Listenansicht angezeigt wird.
    • Wenn dies auf truefestgelegt ist und Sie diese Spalte in einer Listenansicht auswählen, wenn Sie eine Tabellen- oder Datensatzliste anzeigen, werden diese HTML-formatierten Felder möglicherweise angezeigt.
    Warnung:
    Dies ist eine Safe-Harbor-Eigenschaft. Das bedeutet, dass der Wert nicht geändert werden kann, nachdem er geändert wurde. Er kann nicht rückgängig gemacht werden.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.ui.escape_html_list_field
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Um die Anwendung gegen websiteübergreifende Skripting-Angriffe zu schützen
    Empfohlener Wert wahr
    Standardwert wahr
    Sicherheitsrisikobewertung 8.8
    Funktionale Auswirkung (Mittel) Diese Korrektur erzwingt die HTML-Codierung in der Anwenderoberfläche auf HTML-Parser-Ebene und gibt dem Anwender daher codierte Ergebnisse zurück. Sie kann basierend auf der Interaktion des Instanzanwenders mit den resultierenden Daten Auswirkungen auf die Funktionalität haben.
    Sicherheitsrisiko (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in Anwendersitzungen im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen.
    Referenzen

    Strenge Sicherheitseinstellungen

    Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.