Balisage XML d’échappement [mis à jour dans Security Center 1.3]

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Utilisez la propriété pour forcer l’échappement glide.ui.escape_text des valeurs XML au niveau de l’analyseur avant de les transmettre au navigateur du client.

    Le script de site à site se produit lorsqu’un attaquant injecte du JavaScript malveillant dans un point d’entrée. La plateforme/l’application ne parvient pas à échapper au JavaScript malveillant avant de le transmettre au navigateur de la victime pour exécution. S’échapper dans ce contexte signifie ce qui suit :
    • & --> &
    • < --> <
    • > --> >
    • " --> "
    • ' --> '
    • / --> /

    Exemple : <![CDATA[<script>alert('XSS Attack') ;]] >

    Échappement : <script>alert('Attaque XSS') ; </script>

    Assurez-vous que la glide.ui.escape_text propriété existe dans la table sys_properties et qu’elle est définie sur vrai.

    Avertissement :
    Il s’agit d’une propriété de sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.ui.escape_text
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, nettoyage et codage
    Objectif L’échappement XML permet d’éviter que les navigateurs n’analysent le code JavaScript malveillant intégré dans les données non approuvées et ne l’exécutent pas en tant que JavaScript.
    • Un utilisateur malveillant peut tenter une attaque XSS pour détourner la session d’autres utilisateurs ou rediriger l’utilisateur vers un site Web malveillant.
    • La Now Platform contient du code pour sécuriser les cookies, mais pour l’échapper, cette propriété doit être définie sur vrai.
    Valeur recommandée VRAI
    Cote de risque de sécurité 8.8
    Impact fonctionnel (Moyen) Cette correction applique le codage XML au niveau de l’analyseur XML sur l’interface utilisateur. Il restitue les résultats codés pour l’utilisateur, ce qui peut avoir un impact sur la fonctionnalité en fonction de l’interaction de l’utilisateur de l’instance avec les données résultantes.
    Risque de sécurité (Élevé) La validation de l’entrée doit avoir lieu sur l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur la session utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles.
    Solution de contournement

    Une fois cette propriété définie sur vrai, le rendu s’arrête sur les balises HTML dans la description de l’élément de catalogue ou dans le texte d’aide de la variable d’élément de catalogue. Il est possible que vous ne puissiez pas utiliser le formatage HTML pour certains champs.

    Toutefois, si la glide.ui.escape_text propriété est désactivée, toutes les expressions JEXL seront précédées d’un encodeur de sortie :

    ${JS :expression}

    ${HTML :expression}

    ou

    ${JS,HTML :expression}