Autoriser le code HTML intégré (renforcement de la sécurité de l’instance)

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Utilisez cette propriété pour désactiver la glide.ui.security.allow_codetag prise en charge de l’incorporation du code HTML créé à l’aide de la balise [code].

    Il Now Platform atténue de nombreuses attaques par injection et cross-site en mettant en œuvre des techniques d’échappement et d’encodage. Par conséquent, les utilisateurs ne peuvent pas écrire/soumettre des entrées au format HTML pour les champs de journal. Toutefois, les champs journal peuvent afficher du texte encadré par des balises de code au format HTML.
    • Cependant, il existe un risque de sécurité associé. Si la valeur est définie sur vrai, les utilisateurs malveillants peuvent écrire du code HTML JS nuisible qui peut être exécuté sur un autre navigateur client après le rendu des champs de journal.
    • Définissez cette propriété sur false afin que les administrateurs puissent empêcher les champs journal de rendre le code HTML en désactivant la prise en charge de la balise [code].

    En savoir plus

    Attribut Description
    Nom de la propriété glide.ui.security.allow_codetag
    Type de configuration Propriétés système (/sys_properties_list.do)
    Configurer dans le centre de sécurité de l’instance Oui
    Objectif Protégez-vous contre le script site à site et l’exécution de scripts malveillants
    Valeur recommandée faux
    Impact fonctionnel (Moyen) Cette correction applique le codage HTML sur l’interface utilisateur et renvoie les résultats codés à l’utilisateur.

    Cette propriété est définie sur true par défaut. Dans cet état, votre instance affiche le rendu HTML dans les champs et formulaires de journal.

    Si cette propriété est définie sur false, le HTML n’est pas restitué correctement et des balises HTML peuvent apparaître dans les champs journal des formulaires. Elle peut avoir un impact négatif sur les fonctionnalités et sur les interactions des utilisateurs avec les données résultantes.
    Risque de sécurité (Moyen) La validation de l’entrée doit avoir lieu dans l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur une session utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles.
    Références

    Restreindre la balise CODE dans les champs journal

    Afficher les entrées de champ journal au format HTML

    Paramètres de sécurité élevée

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.