Activer AJAXEvaluate (renforcement de la sécurité de l’instance)
Utilisez la propriété pour restreindre l’exécution glide.script.allow.ajaxevaluate arbitraire du script client à l’aide de l’API système côté serveur.
- Filtres et/ou requêtes
- Il est légal d’envoyer un filtre au serveur tel que :
assigned_to=javascript :getMyGroups() - API système
- L’appel d’API AJAXEvaluate permet au client d’exécuter des scripts arbitraires sur le serveur et de recevoir une réponse.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.script.allow.ajaxevaluate |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Configurer dans le centre de sécurité de l’instance | Oui |
| Objectif | Restreindre l’exécution arbitraire du script client à l’aide de l’API système côté serveur |
| Valeur recommandée | faux |
| Impact fonctionnel | (Moyen) Cette correction force la désactivation du processeur AJAEvaluate. Cela peut avoir un impact sur la fonctionnalité si vous utilisez explicitement le processeur d’évaluation AJAX dans le cadre de scripts personnalisés. Pour plus d’informations, consultez GlideAjax. |
| Risque de sécurité | (Élevé) AJAXEvaluate peut autoriser l’exécution de code JavaScript arbitraire sur le navigateur client en appliquant les objets côté serveur. |
| Références | Configuration de la propriété du bac à sable de script glide.script.allow.ajaxevaluate appartient à la même famille de propriétés qui sécurisent et limitent l’exécution des scripts provenant du client :
|
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.