HTML-Bereinigung erkunden

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Entfernen Sie unerwünschten Code, und schützen Sie sich vor Sicherheitsbedrohungen wie Angriffen mit websiteübergreifendem Skripting, indem Sie HTML-Markup in HTML-Feldern und übersetzten HTML-Feldern bereinigen.

    Verwenden Sie die HTML-Bereinigung, um sicherzustellen, dass HTML-Inhalte in Ihrer Instanz keine potenziell schädlichen Inhalte enthalten. Die HTML-Bereinigung funktioniert durch das Entfernen von HTML-Tags, die zur Gefährdung Ihrer Instanz verwendet werden könnten, z. B. <![CDATA[<script> ]]>-, <link>- oder <embed> -Tags, die verwendet werden können, um unerwünschte Skripts in Ihrer Instanz auszuführen oder Ihre Benutzer auf unerwünschte Inhalte zu leiten. Sichere Tags, die die Formatierung Ihrer Inhalte steuern, bleiben erhalten. Als Administrator können Sie anpassen, welche Inhalte entfernt oder beibehalten werden. Sie können auch steuern, ob die Bereinigung für alle Inhalte oder nur für die von Ihnen angegebenen Felder gilt.

    Die HTML-Bereinigung überprüft die integrierte Aufnahmeliste auf Markups, die Sie immer beibehalten möchten. Die Bereinigung stellt die Skripteinbindung HTMLSanitizerConfig bereit, mit der Administratoren die integrierte Aufnahmeliste ändern können. Elemente können auch der Ausschlussliste hinzugefügt werden, um HTML-Markup zu entfernen. Der Inhalt der Ausschlussliste überschreibt die Aufnahmeliste.

    Die folgenden Arten von Elementen können den Einschluss- und Ausschlusslisten hinzugefügt werden:
    • Globale Attribute
    • Beliebige HTML-Elemente
    Hinweis:
    Standardmäßig unterstützen URL-Attribute wie href und src nur diese Protokolle:
    • http
    • https
    • Mailto
    • Daten
    Zum Beispiel: 
    <a href="https://community.servicenow.com/community"> ServiceNow Community </a>
    Hinweis:
    Weitere Informationen zur Eigenschaft glide.html.sanitize_all_fields, die die Verwendung der HTML-Bereinigung steuert, finden Sie unter HTML-Bereinigung aktivieren [In Security Center 1.3 aktualisiert] unter Härtungseinstellungen für Instanzsicherheit.

    Konfigurieren Sie URL-Attribute und die Protokolle

    Sie können urlAttributes und ihre Protokolle in der HTMLSanitizer- Skripteinbindung konfigurieren. Zum Beispiel:

    HTML_WHITELIST : {
urlAttributes: { "protocols" : [ "file", "notes" ] },
                -  -
                -  -
        }

    Da sich in diesem Beispiel „Notizen “ in der Aufnahmeliste befindet, wird diese URL nicht bereinigt:

    <a title=“Lotus” href=“Notes://ABC/X575C90019DE33/ABC594DCB76D86EB4925653E0011C4C1/ZZ90B7E2D33964749257EEA003456FD”>Lotus</a></p>

    Standardaufnahmeliste

    Hinweis:
    Die Standardaufnahmeliste ist eine Systemliste, auf die Benutzer in der -Instanz nicht zugreifen können.
    BUILTIN_HTML_WHITELIST :{
 
    globalAttributes:{ attribute:["id","class","lang","title","style"],
 
                                 attributeValuePattern:{}},
 
    label:{ attribute:["for"]},
 
    font:{ attribute:["color","face","size"]},
 
    a:{ attribute:["href","nohref","name","shape"]},
 
    img:{ attribute:["src","name","alt","border","hspace","vspace","align","height","width"},
 
    table:{ attribute:["border","cellpadding","cellspacing","bgcolor","background","align","no resize","height","width","summary","frame","rules"]},
 
    th:{ attribute:["background","bgcolor","abbr","axis","headers","scope","nowrap","height","width","align","valign","char off","char","colspan","rowspan"]},
 
    td:{ attribute:["background","bgcolor","abbr","axis","headers","scope","nowrap","height","width","align","valign","char off","char","colspan","rowspan"]},
 
    tr:{ attribute:["background","height","width","align","valign","char off","char"]},
 
    thead:{attribute:["align","valign","char off","char"]}, 
 
    tbody:{attribute:["align","valign","char off","char"]}, 
 
    tfoot:{attribute:["align","valign","char off","char"]}, 
 
    colgroup:{attribute:["align","valign","char off","char","span","width"]}, 
 
    col:{attribute:["align","valign","char off","char","span","width"]},
 
    p:{attribute:["align"]},
 
    style:{attributeValuePattern:{"type":"text/css"}}
 
    canvas:{ attribute:["height","width"]},
 
    details:{ attribute:["open"]},
 
    summary:{ attribute:["open","valign","char off","char"]},
 
    button:{ attribute:["disabled","accesskey","type"]},
 
    form:{},
 
    input:{ attribute:["size","maxlength","checked","alt","src","type","disabled","readonly","accesskey","border","usemap"]},
 
    select:{ attribute:["disabled","multiple","size"]},
 
    textarea:{ attribute:["rows","cols","disabled","readonly","accesskey"]},
 
    option:{ attribute:["disabled","label","selected"]},
 
    div:{ attribute:["align"]},
 
    ol:{ attribute:["start","type","square"]},
 
    ul:{ attribute:["type","square","itemscope","itemtype","itemref"]},
 
    li:{ attribute:["value","fb__id","itemprop"]},
 
    span:{ attribute:["color","size","data-mce-bogus","itemprop","face"]},
 
    br:{ attribute:["clear"]},
 
    h3:{ attribute:["itemprop"]},
 
    html:{ attribute:["xmlns","lang","xml:lang"]},
 
    link:{ attribute:["rel","type","href","charset"]},
 
    meta:{ attribute:["name","content","scheme","charset","http-equiv"]},
 
    pre:{ attribute:["xml:space"]},
 
    noscript:{},    h1:{},    h2:{},      h4:{},    h5:{},    h6:{},   
 
    i:{},    b:{},    u:{},    strong:{},    em:{},    small:{},    big:{},   
 
    pre:{},    code:{},    cite:{},    samp:{},    sub:{},    sup:{},    
 
    strike:{},   center:{},  blockquote:{},    hr:{},      map:{},
 
    dd:{},    dt:{},    dl:{},  fieldset:{},    legend:{}, figure:{},  tt:{},
 
    body:{},   caption:{},   head:{},   title:{},  shape:{},},