Eingebetteten HTML-Code deaktivieren [aktualisiert in Security Center 1,3]

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Verwenden Sie glide.ui.security.allow_codetagEigenschaft zum Deaktivieren der Unterstützung für die Einbettung von HTML-Code, der mit dem Tag [Code] erstellt wurde.

    Deaktivieren Sie die Unterstützung für die Anzeige von HTML-Code, der mit eingebettet wurde [Code] Tag. Dieses Tag ermöglicht die Anzeige von gerendertem HTML in Journalfeldern und kann zu Angriffen mit Cross-Site Scripting (XSS) führen. Diese Angriffe können die Ausführung fremder Skripts in einer Anwendersitzung im Kontext des angemeldeten Browsers ermöglichen. Angreifer können diese Skripts verwenden, um Sitzungsinformationen und vertrauliche Daten zu stehlen. Die HTML-Sprache wurde nicht so konzipiert, dass Skript von der Formatierung getrennt wird. Daher birgt das Zulassen von anwendergesteuertem HTML in jedem System ein inhärentes Risiko.

    Wird festgelegt glide.ui.security.codetag.allow_script Bis Falsch Ist konform und reduziert dieses Risiko erheblich, jedoch bleibt ein geringfügiges Risiko bestehen. Dadurch wird nur der Skriptteil von deaktiviert Code Tag, und basiert auf der Bereinigung aller bekannten Konventionen des Skripts in HTML.

    Legen Sie fest glide.ui.security.allow_codetag Systemeigenschaft zu Falsch Um zu verhindern, dass Journalfelder und -Formulare gerenderte HTML anzeigen.

    Die ServiceNow AI Platform Mildert viele Einschleusungen und standortübergreifende Angriffe durch Implementierung von Escape- und Codierungstechniken ab. Daher können Anwender keine HTML-formatierten Eingaben für Journalfelder schreiben/übermitteln. Journalfelder können jedoch Text, der in Code-Tags eingeschlossen ist, als HTML rendern.
    • Es besteht jedoch ein entsprechendes Sicherheitsrisiko. Wenn auf festgelegt Wahr , Böswillige Anwender können schädlichen HTML-JS-Code schreiben, der nach dem Rendern von Journalfeldern in einem anderen Client-Browser ausgeführt werden kann.
    • Legen Sie diese Eigenschaft auf fest Falsch Damit Administratoren verhindern können, dass Journalfelder HTML-Code rendern, indem sie die Unterstützung für deaktivieren [Code] Tag.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.ui.security.allow_codetag
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Konfigurieren Sie im Instanz-Sicherheitszentrum Ja
    Zweck Schützen Sie vor Site-übergreifendem Skripting und böswilliger Skriptausführung
    Empfohlener Wert falsch
    Standardwert wahr
    Sicherheitsrisikobewertung 4.2
    Funktionale Auswirkung Diese Korrektur erzwingt die HTML-Codierung auf der Anwenderoberfläche und rendert die codierten Ergebnisse für den Anwender.

    Diese Eigenschaft ist auf festgelegt Wahr Standardmäßig. In diesem Status zeigt Ihre Instanz gerendertes HTML in Journalfeldern und Formularen an.

    Wenn diese Eigenschaft auf festgelegt ist Falsch , HTML wird nicht ordnungsgemäß gerendert, und HTML-Tags werden möglicherweise in Journalfeldern in Formularen angezeigt. Dies kann sich nachteilig auf die Funktionalität und die Anwenderinteraktionen mit den resultierenden Daten auswirken.
    Sicherheitsrisiko (Mittel) die Eingabevalidierung muss in der Anwendung erfolgen, um sich vor siteübergreifenden Skripting-Angriffen zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in einer Anwendersitzung im Kontext des angemeldeten Browsers. Angreifer können sie verwenden, um Sitzungsinformationen und vertrauliche Daten zu stehlen.