Autoriser le code HTML incorporé (renforcement de la sécurité de l’instance)

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez la propriété pour désactiver la glide.ui.security.allow_codetag prise en charge de l’incorporation du code HTML créé à l’aide de la balise [code].

    Il Now Platform atténue de nombreuses attaques par injection et intersites en mettant en œuvre des techniques d’échappement et d’encodage. Par conséquent, les utilisateurs ne peuvent pas écrire/soumettre d’entrées au format HTML pour les champs de journal. Toutefois, les champs de journal peuvent afficher du texte contenu dans des balises de code au format HTML.
    • Cependant, il existe un risque de sécurité associé. Si la valeur est définie sur vrai, les utilisateurs malveillants peuvent écrire du code JS HTML nuisible qui peut être exécuté sur un autre navigateur client après le rendu des champs de journal.
    • Définissez cette propriété sur faux afin que les administrateurs puissent empêcher les champs journaux de rendre le code HTML en désactivant la prise en charge de la balise [code].

    En savoir plus

    Attribut Description
    Nom de la propriété glide.ui.security.allow_codetag
    Type de configuration Propriétés système (/sys_properties_list.do)
    Configurer dans le centre de sécurité de l’instance Oui
    Objectif Protégez-vous contre le script de site à site et l’exécution malveillante de scripts
    Valeur recommandée faux
    Impact fonctionnel (Moyen) Cette correction applique le codage HTML sur l’interface utilisateur et renvoie les résultats codés à l’utilisateur.

    Cette propriété est définie sur vrai par défaut. Dans cet état, votre instance affiche le rendu HTML dans les champs de journal et les formulaires.

    Si cette propriété est définie sur faux, le HTML n’est pas affiché correctement et les balises HTML peuvent apparaître dans les champs de journal des formulaires. Cela peut avoir un impact négatif sur les fonctionnalités et sur les interactions des utilisateurs avec les données qui en résultent.
    Risque de sécurité (Moyen) La validation des entrées doit avoir lieu dans l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur une session utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles.
    Références

    Limiter la balise CODE dans les champs de journal

    Afficher les entrées de champ journal au format HTML

    Paramètres de sécurité élevée

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.