Überprüfung der AJAXGlideRecord-ACL erfordern [aktualisiert in Security Center 1,3]
Verwenden Sie glide.script.secure.ajaxgliderecordEigenschaft zum Durchführen der ACL-Validierung (Access Control Rule), wenn serverseitige Datensätze, z. B. Tabellen, mithilfe von GlideAjax-APIs innerhalb eines Client-Skripts aufgerufen werden.
Aus Client-Skripts können beliebige Daten vom Server mit AJAXGlideRecord ( abgefragt werdenGlideAjax – Client) API mithilfe einer Syntax, z. B. eines serverseitigen Glide-Datensatzes. Es ist ein leistungsstarkes und nützliches Tool in vielen Bereitstellungen.
Wenn Sie Zugriffssteuerungslisten (ACL) auf GlideAjax-API-Aufrufe anwenden möchten, können Sie nur Daten abfragen, auf die der derzeit verbundene Anwender Zugriff hat. Wenn beispielsweise ein ESS-Anwender angemeldet ist, der keine Rechte zum Lesen der Tabelle „cmn_location“ hat, würde jeder GlideAjax-API-Aufruf für diese Tabelle fehlschlagen.
Wenn ServiceNow AI Platform Wird ohne GlideAjax ACL-Aufrufüberprüfung ausgeführt. Eine API kann Informationen zurückgeben, auf die der derzeit angemeldete Anwender andernfalls nicht zugreifen konnte.
Verwenden Sie GlideRecordSecure beim Abfragen von Daten, um ein Höchstmaß an Sicherheit sicherzustellen. GlideRecord basiert auf der ACL-Durchsetzung durch Konfigurationen, während GlideRecordSecure strengere Sicherheitskontrollen anwendet. GlideRecordSecure bietet eine sicherere, sofort einsatzbereite Lösung für den Umgang mit sensiblen Daten.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.script.secure.ajaxgliderecord |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Zugriffssteuerung |
| Zweck | Stellen Sie sicher, dass Sicherheits-ACLs überprüft und validiert werden, auch wenn über clientseitige APIs auf die Datensätze zugegriffen wird. |
| Empfohlener Wert | wahr |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 8.1 |
| Funktionale Auswirkung | Diese Korrektur erzwingt die ACL-Beziehung mit serverseitigen Datensätzen, wenn die Anforderungen mithilfe der AJAXGlideRecord-API-Aufrufe gestellt werden. Wenn die ACL-Konfiguration nicht ordnungsgemäß konfiguriert ist, gibt es potenzielle Auswirkungen. Weitere Informationen zu den Auswirkungen und zur Identifizierung finden Sie unter Weitere Informationen finden Sie unter Clientseitige GlideRecord-Transaktionen (AJAXGlideRecord) auditieren und überprüfen [KB0550828] artikel in HI Knowledge Base . |
| Sicherheitsrisiko | (Hoch) über Client-Skripts ist es möglich, beliebige Daten vom Server über die GlideAjax-API abzufragen. Auf serverseitige Ressourcen kann ohne ordnungsgemäße Autorisierung zugegriffen werden. Die ACL-Validierung hilft der Anwendung, die Anforderung basierend auf der konfigurierten Autorisierung zu validieren. |
| Workaround | Stellen Sie sicher, dass richtige ACLs für Skripteinbindungen, Prozessoren und andere Entitäten erstellt werden, die von einer GlideAjax-API (AJAXGlideRecord) verwendet werden, damit sie unter ordnungsgemäßer Autorisierung ausgeführt wird. Implementieren Sie Methoden wie Eine andere Methode ist die Verwendung von GlideRecordSecure. Die Klasse wird vom GlideRecord-Server übernommen, der die gleichen Funktionen wie GlideRecord ausführt und auch ACLs erzwingt. |
| Referenzen | ACLs auf AJAXGlideRecord anwenden (clientseitiger Glide-Datensatz) Diese Eigenschaft gehört zur gleichen Eigenschaftenfamilie, die die Ausführung von Skripts, die vom Client stammen, sicherstellt und einschränkt, z. B. glide.script.allow.ajaxevaluate. Weitere Informationen finden Sie unter Aktivieren Sie AJAXEvaluate . |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.