Escape-Zeichen für JavaScript [Aktualisiert in Security Center 1.3]
Verwenden Sie die Eigenschaft glide.html.escape_script, um in HTML-Feldern während Listenansichten Escape-Zeichen für JavaScript-Tags (<script></script>) zu erzwingen.
Die Glide-Eigenschaft glide.html.escape_script hilft beim Bereinigen von HTML-Feldern. Wenn glide.html.escape_script nicht auf den empfohlenen Wert „wahr“ festgelegt ist, werden Eingaben nicht für HTML-Felder (Ausgabecodierung) aus einem Back-End-Java-Kontext bereinigt, indem eingebettetes JavaScript entfernt wird. Javascript in HTML-Feldern kann zu gespeichertem und reflektiertem XSS führen. Die Möglichkeit, über XSS zu verfügen, kann dazu führen, dass eine Berechtigungsausweitung auf höhere Rollen wie „Administrator“ leicht erreicht werden kann, in denen mehr Seitwärtsbewegung möglich ist.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.html.escape_script |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Verhinderung von Cross Site Scripting-Angriffen auf eine Anwendung |
| Empfohlener Wert | wahr |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 8.8 |
| Funktionale Auswirkung | Diese Korrektur erzwingt JavaScript-Escaping in der Anwenderoberfläche und rendert codierte Ergebnisse für den Anwender. Dies kann sich je nach Interaktion des Instanzbenutzers mit den resultierenden Daten auf die Funktionalität auswirken |
| Sicherheitsrisiko | (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in einer Anwendersitzung im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen. |
| Referenzen |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.