Échapper à JavaScript

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez la propriété pour forcer l’échappement des balises JavaScript (<script></script>) dans les glide.html.escape_script champs HTML au cours des vues de listes.

    HTML est l’un des types qui peuvent être affectés aux champs du dictionnaire. L’affectation de champs HTML à n’importe quel type de champ permet à l’utilisateur de formater le contenu à l’aide de codes HTML (par exemple, <p>, , <font><a href> <b><img>, ). Si vous définissez glide.html.escape_script la valeur sur faux, les balises (<script></script>) peuvent apparaître lorsque vous sélectionnez cette colonne dans une vue de liste tout en affichant une liste de tables ou d’enregistrements.

    Un attaquant malveillant peut insérer du code JavaScript en l’intégrant dans les balises (<script></script>). L’attaquant peut en tirer parti en injectant un vecteur JS sophistiqué qui peut s’exécuter lorsqu’un utilisateur ouvre l’enregistrement de table.

    Avertissement :
    Il s’agit d’une propriété de sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.html.escape_script
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, nettoyage et codage
    Objectif Pour éviter les attaques de script de site à site contre une application.
    Valeur recommandée VRAI
    Valeur par défaut VRAI
    Cote de risque de sécurité 8.8
    Impact fonctionnel (Moyen) Cette correction applique l’échappement JavaScript sur l’interface utilisateur et renvoie les résultats codés à l’utilisateur. Elle peut avoir un impact sur la fonctionnalité, en fonction de l’interaction de l’utilisateur de l’instance avec les données résultantes
    Risque de sécurité (Élevé) La validation des entrées doit avoir lieu dans l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur la session utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles.
    Références

    Propriétés système disponibles

    Paramètres de sécurité élevée

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.