Assainisseur HTML (renforcement de la sécurité de l’instance)

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Utilisez cette glide.html.sanitize_all_fields propriété pour activer l’include de script HTMLSanitizer, qui nettoie l’entrée HTML selon les attributs mis sur liste d’exclusion et d’inclusion configurés dans un script.

    Les types de champs disponibles avec le dictionnaire/les champs incluent HTML et HTML traduit. Ces champs d’entrée HTML permettent aux utilisateurs d’écrire une entrée au format HTML, par exemple :

    <h1>Test</h1>), à l’aide des balises HTML les plus basiques telles que <img>, <a href …>, et <iframe>.

    Cela peut ouvrir la porte à un attaquant malveillant pour injecter un vecteur malveillant avec des balises HTML telles que :

    [<IMG SRC=" &#14; JavaScript:alert('XSS');">][<IMG onmouseover="alert('xss')">],[a href=&quot; » onclick=alert(/xss/)].

    En savoir plus

    Attribut Description
    Nom de la propriété glide.html.sanitize_all_fields
    Type de configuration Propriétés système (/sys_properties_list.do)
    Configurer dans le centre de sécurité de l’instance Oui
    Objectif Empêche l’application contre les attaques de script de site à site et d’injection HTML
    Valeur recommandée VRAI
    Impact fonctionnel (Élevé) Cette correction applique un mécanisme de codage de sortie HTML avant que les données utilisateur ne soient restituées à l’utilisateur. Si le client dispose d’une personnalisation qui implique le rendu de l’attribut HTML ou des données de contenu, il y a un impact sur la fonctionnalité.
    Risque de sécurité (Élevé) L’entrée de l’utilisateur doit être traitée en toute sécurité lorsque les données sont stockées et traitées sur l’application. Cela réduit les attaques de script de site à site côté client grâce à l’encodage de sortie des données.
    Solution de contournement

    Cette propriété nettoie tous les champs HTML du système. Si vous devez activer l’assainissement HTML sur des champs individuels, voir Activer l’assainissement sur des champs individuels.

    Vous pouvez également configurer la liste d’inclusion ou la liste d’exclusion pour assainir les balises et attributs HTML conformément à la politique de votre organisation.
    Références

    Activation de l’assainisseur HTML

    Assainisseur HTML

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.