JavaScript mit Escape-Zeichen versehen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.html.escape_script, um in HTML-Feldern während Listenansichten Escape-Zeichen für JavaScript-Tags (<script></script>) zu erzwingen.

    HTML ist einer der Typen, die den Wörterbuchfeldern zugewiesen werden können. Durch das Zuweisen von HTML-Feldern an einen beliebigen Feldtyp wird dem Anwender die Möglichkeit gegeben, den Inhalt mithilfe von HTML-Codes zu formatieren (z. B. <p>, <a href>, <b>, <font>, <img>). Wenn Sie glide.html.escape_script auf falsesetzen, werden die Tags (<script></script>) möglicherweise angezeigt, wenn Sie diese Spalte in einer Listenansicht auswählen, während Sie eine Tabellen- oder Datensatzliste anzeigen.

    Ein böswilliger Angreifer kann JavaScript-Code einfügen, indem er ihn in die Tags (<script></script>) einbettet. Der Angreifer kann einen Vorteil ausnutzen, indem er einen ausgefeilten JS-Vektor einschleust, der ausgeführt werden kann, wenn ein Benutzer den Tabellendatensatz öffnet.

    Warnung:
    Dies ist eine Safe-Harbor-Eigenschaft. Das bedeutet, dass der Wert nicht geändert werden kann, nachdem er geändert wurde. Er kann nicht rückgängig gemacht werden.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.html.escape_script
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Verhinderung von Cross Site Scripting-Angriffen auf eine Anwendung
    Empfohlener Wert wahr
    Standardwert wahr
    Sicherheitsrisikobewertung 8.8
    Funktionale Auswirkung (Mittel) Diese Korrektur erzwingt JavaScript-Escaping in der Anwenderoberfläche und rendert codierte Ergebnisse für den Anwender. Dies kann sich je nach Interaktion des Instanzbenutzers mit den resultierenden Daten auf die Funktionalität auswirken
    Sicherheitsrisiko (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in einer Anwendersitzung im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen.
    Referenzen

    Verfügbare Systemeigenschaften

    Strenge Sicherheitseinstellungen

    Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.