JavaScript mit Escape-Zeichen versehen [aktualisiert in Security Center 1,3]
Verwenden Sie glide.html.escape_scriptEigenschaft zum Erzwingen des Escape-Vorgangs aus JavaScript ( <script></script>) Tags in HTML-Feldern während Listenansichten.
Die Glide-Eigenschaft glide.html.escape_scriptHilft bei der Bereinigung von HTML-Feldern. Wenn glide.html.escape_script Ist nicht auf den empfohlenen Wert „wahr“ festgelegt, werden Eingaben für HTML-Felder (Ausgabecodierung) aus einem Back-End-Java-Kontext nicht bereinigt, indem eingebettetes JavaScript entfernt wird. JavaScript in HTML-Feldern kann zu gespeicherten und reflektierten XSS führen. Die Fähigkeit, XSS zu verwenden, kann zu einer einfachen Berechtigungseskalation zu höheren Rollen wie Administrator führen, wo mehr seitliche Bewegungen ausgeführt werden können.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.html.escape_script |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Dient zum verhindern von siteübergreifenden Skripting-Angriffen auf eine Anwendung. |
| Empfohlener Wert | wahr |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 8.8 |
| Funktionale Auswirkung | Diese Fehlerkorrektur erzwingt das JavaScript-Escape-Zeichen auf der Anwenderoberfläche und rendert codierte Ergebnisse für den Anwender. Dies kann sich basierend auf der Interaktion des Instanzanwenders mit den resultierenden Daten auf die Funktionalität auswirken |
| Sicherheitsrisiko | (Hoch) die Eingabevalidierung muss in der Anwendung erfolgen, um sich vor siteübergreifenden Skripting-Angriffen zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in einer Anwendersitzung im Kontext des angemeldeten Browsers. Angreifer können sie verwenden, um Sitzungsinformationen und vertrauliche Daten zu stehlen. |
| Referenzen |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.