HTML-Bereinigung erkunden
Entfernen Sie unerwünschten Code, und schützen Sie sich vor Sicherheitsbedrohungen wie Angriffen mit websiteübergreifendem Skripting, indem Sie HTML-Markup in HTML-Feldern und übersetzten HTML-Feldern bereinigen.
Verwenden Sie die HTML-Bereinigung, um sicherzustellen, dass HTML-Inhalte in Ihrer Instanz keine potenziell schädlichen Inhalte enthalten. Die HTML-Bereinigung funktioniert, indem HTML-Tags entfernt werden, die zur Gefährdung Ihrer Instanz verwendet werden könnten, z. B. ]]>, <link>, Oder <embed>Tags, die verwendet werden können, um unerwünschte Skripts in Ihrer Instanz auszuführen oder Ihre Anwender zu unerwünschten Inhalten zu leiten. Safe-Tags, die die Formatierung Ihrer Inhalte steuern, werden beibehalten. Als Administrator können Sie anpassen, welche Inhalte entfernt oder beibehalten werden. Sie können auch steuern, ob die Bereinigung für alle Inhalte oder nur für von Ihnen angegebene Felder gilt.
Die HTML-Bereinigung überprüft die integrierte Aufnahmeliste auf Markup, das Sie immer beibehalten möchten. Das Desinfektionsgerät stellt bereit HTMLSanitizerConfig Skripteinbindung, mit der Administratoren die integrierte Aufnahmeliste ändern können. Elemente können auch der Ausschlussliste hinzugefügt werden, um HTML-Markup zu entfernen. Inhalte der Ausschlussliste überschreiben die Aufnahmeliste.
- Globale Attribute
- Beliebige HTML-Elemente
Href Und src Unterstützt nur diese Protokolle:httphttpsMailtoDaten
<a href="https://community.servicenow.com/community">ServiceNow Community</a>Konfigurieren Sie urlAttributes und die Protokolle
Sie können urlAttributes und ihre Protokolle in konfigurieren HTMLBereinigung Skripteinbindung. Zum Beispiel:
HTML_WHITELIST : {
urlAttributes: { "protocols" : [ "file", "notes" ] },
- -
- -
}Weil Notizen Befindet sich in der Aufnahmeliste in diesem Beispiel, diese URL ist nicht bereinigt:
<a title=“Lotus” href=“Notes://ABC/X575C90019DE33/ABC594DCB76D86EB4925653E0011C4C1/ZZ90B7E2D33964749257EEA003456FD”>Lotus</a></p> Standardmäßige Aufnahmeliste
BUILTIN_HTML_WHITELIST :{
globalAttributes:{ attribute:["id","class","lang","title","style"],
attributeValuePattern:{}},
label:{ attribute:["for"]},
font:{ attribute:["color","face","size"]},
a:{ attribute:["href","nohref","name","shape"]},
img:{ attribute:["src","name","alt","border","hspace","vspace","align","height","width"},
table:{ attribute:["border","cellpadding","cellspacing","bgcolor","background","align","no resize","height","width","summary","frame","rules"]},
th:{ attribute:["background","bgcolor","abbr","axis","headers","scope","nowrap","height","width","align","valign","char off","char","colspan","rowspan"]},
td:{ attribute:["background","bgcolor","abbr","axis","headers","scope","nowrap","height","width","align","valign","char off","char","colspan","rowspan"]},
tr:{ attribute:["background","height","width","align","valign","char off","char"]},
thead:{attribute:["align","valign","char off","char"]},
tbody:{attribute:["align","valign","char off","char"]},
tfoot:{attribute:["align","valign","char off","char"]},
colgroup:{attribute:["align","valign","char off","char","span","width"]},
col:{attribute:["align","valign","char off","char","span","width"]},
p:{attribute:["align"]},
style:{attributeValuePattern:{"type":"text/css"}}
canvas:{ attribute:["height","width"]},
details:{ attribute:["open"]},
summary:{ attribute:["open","valign","char off","char"]},
button:{ attribute:["disabled","accesskey","type"]},
form:{},
input:{ attribute:["size","maxlength","checked","alt","src","type","disabled","readonly","accesskey","border","usemap"]},
select:{ attribute:["disabled","multiple","size"]},
textarea:{ attribute:["rows","cols","disabled","readonly","accesskey"]},
option:{ attribute:["disabled","label","selected"]},
div:{ attribute:["align"]},
ol:{ attribute:["start","type","square"]},
ul:{ attribute:["type","square","itemscope","itemtype","itemref"]},
li:{ attribute:["value","fb__id","itemprop"]},
span:{ attribute:["color","size","data-mce-bogus","itemprop","face"]},
br:{ attribute:["clear"]},
h3:{ attribute:["itemprop"]},
html:{ attribute:["xmlns","lang","xml:lang"]},
link:{ attribute:["rel","type","href","charset"]},
meta:{ attribute:["name","content","scheme","charset","http-equiv"]},
pre:{ attribute:["xml:space"]},
noscript:{}, h1:{}, h2:{}, h4:{}, h5:{}, h6:{},
i:{}, b:{}, u:{}, strong:{}, em:{}, small:{}, big:{},
pre:{}, code:{}, cite:{}, samp:{}, sub:{}, sup:{},
strike:{}, center:{}, blockquote:{}, hr:{}, map:{},
dd:{}, dt:{}, dl:{}, fieldset:{}, legend:{}, figure:{}, tt:{},
body:{}, caption:{}, head:{}, title:{}, shape:{},},Verwenden von Variablen und Vorlagen in HTML-Feldern
HTML-/übersetzte HTML-Felder werden standardmäßig einer HTML-Bereinigung unterzogen. Dieser Prozess bereinigt die Eingabe-HTML, um sie vor siteübergreifendem Skripting (XSS) und zugehörigen Sicherheitsangriffen zu schützen. Das Speichern von Vorlagen oder Variablen wie ${description} oder {{description}} oder ähnlichem und das Ersetzen dieser Vorlagen durch eine echte Beschreibung nach der Bereinigung reduziert die Effektivität des Bereinigungsprozesses. Dies liegt daran, dass die Bereinigung nur für die Platzhaltervorlage aufgerufen wird und nicht für den HTML-Inhalt. Das Speichern von nur HTML-Inhalten in den HTML-/übersetzten HTML-Feldern trägt zu einem effektiven Bereinigungsprozess bei.