Balisage XML d’échappement

  • Rversion finale: Australia
  • Mis à jour 13 mars 2026
  • 1 minute de lecture

    • Utilisez la propriété pour forcer l’échappement glide.ui.escape_text des valeurs XML au niveau de l’analyseur avant de les transmettre au navigateur du client.

    Utilisez la glide.ui.escape_text propriété système pour échapper les valeurs XML au niveau de l’analyseur de l’interface utilisateur. Il empêche les attaques de script de site à site réfléchies et stockées. Cette propriété n’est pas applicable dans Portail de services.

    Le script de site à site se produit lorsqu’un attaquant injecte du JavaScript malveillant dans un point d’entrée. La plateforme/l’application ne parvient pas à échapper au JavaScript malveillant avant de le transmettre au navigateur de la victime pour exécution. S’échapper dans ce contexte signifie ce qui suit :
    • & --> &
    • < --> <
    • > --> >
    • " --> "
    • ' --> '
    • / --> /

    Exemple : <![CDATA[<script>alert('XSS Attack') ;]]>

    Évasion : <script>alert('Attaque XSS') ; </script>

    Assurez-vous que la propriété existe dans la table Propriétés système [sys_properties] et qu’elle glide.ui.escape_text est définie sur vrai.

    Avertissement :
    Il s’agit d’une propriété de la sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.

    En savoir plus

    Attribut Description
    Nom de la configuration glide.ui.escape_text
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données Booléen
    Valeur recommandée VRAI
    Valeur par défaut <aucun>
    Valeur de secours Faux
    Catégorie Validation, nettoyage et codage
    Risque de sécurité
    • Score de gravité : 8,8
    • Évaluation CVSS : élevée
    • Détails du risque de sécurité :

      Si glide.ui.escape_text elle n’est pas définie sur la valeur conseillée true, les valeurs XML ne seront pas échappées au niveau de l’analyseur pour l’interface utilisateur. Les modèles Jelly seront ainsi susceptibles de faire l’objet d’attaques de script de site à site réfléchies et stockées.
    Impact fonctionnel Aucun
    Dépendances et prérequis Aucun