Eingebetteten HTML-Code deaktivieren [In Security Center 1.3 aktualisiert]

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.ui.security.allow_codetag, um die Unterstützung für das Einbetten von HTML-Code zu deaktivieren, der mit dem Tag [code] erstellt wurde.

    Unterstützung für die Anzeige von HTML-Code deaktivieren, der mit dem Tag [code] eingebettet ist. Dieses Tag ermöglicht die Anzeige von gerendertem HTML in Journalfeldern und kann zu Cross-Site-Scripting-Angriffen (XSS) führen. Diese Angriffe können die Ausführung fremder Skripts in einer Benutzersitzung im Kontext des angemeldeten Browsers ermöglichen. Angreifer können diese Skripts verwenden, um Sitzungsinformationen und vertrauliche Daten zu stehlen. Die HTML-Sprache wurde nicht entwickelt, um Skripts von Formatierungen zu trennen. Daher birgt das Zulassen von anwendergesteuertem HTML in jedem System Risiken.

    Das Festlegen von „glide.ui.security.codetag.allow_script“ auf „falsch“ ist konform und reduziert dieses Risiko erheblich, es besteht jedoch ein geringes Risiko. Es deaktiviert nur den Skriptteil eines Code -Tags und bereinigt alle bekannten Skriptkonventionen im HTML.

    Setzen Sie die Systemeigenschaft „glide.ui.security.allow_codetag“ auf „falsch“, um zu verhindern, dass Journalfelder und Formulare gerenderten HTML-Code anzeigen.

    Now Platform entschärft viele Einschleusungs- und websiteübergreifende Angriffe durch die Implementierung von Escaping- und Codierungstechniken. Daher können Anwender keine HTML-formatierten Eingaben für Journalfelder schreiben/senden. Journalfelder können jedoch Text, der in Code-Tags eingeschlossen ist, als HTML rendern.
    • Es ist jedoch ein Sicherheitsrisiko verbunden. Bei Festlegung auf wahrkönnen böswillige Anwender schädlichen HTML JS-Code schreiben, der nach dem Rendern von Journalfeldern in einem anderen Client-Browser ausgeführt werden kann.
    • Legen Sie diese Eigenschaft auf „falsch“ fest, damit Administratoren verhindern können, dass Journalfelder HTML-Code rendern, indem sie die Unterstützung für das [code] -Tag deaktivieren.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.ui.security.allow_codetag
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Konfigurieren Sie im Instanz-Sicherheitszentrum Ja
    Zweck Schützen Sie sich vor websiteübergreifendem Skripting und der Ausführung schädlicher Skripts
    Empfohlener Wert falsch
    Standardwert wahr
    Sicherheitsrisikobewertung 4.2
    Funktionale Auswirkung Diese Korrektur erzwingt die HTML-Codierung in der Anwenderoberfläche und rendert die codierten Ergebnisse für den Anwender.

    Diese Eigenschaft ist standardmäßig auf „true“ festgelegt. In diesem Status zeigt Ihre Instanz gerenderten HTML-Code in Journalfeldern und Formularen an.

    Wenn diese Eigenschaft auf „false“festgelegt ist, wird HTML nicht ordnungsgemäß gerendert, und HTML-Tags werden möglicherweise in Journalfeldern in Formularen angezeigt. Dies kann sich nachteilig auf die Funktionalität und die Benutzerinteraktionen mit den resultierenden Daten auswirken.
    Sicherheitsrisiko (Mittel) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in einer Benutzersitzung im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen.