Activer l’assainisseur HTML [mis à jour dans Security Center 1.3]

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez la propriété pour activer l’include de script HTMLSanitizer, qui nettoie l’entrée glide.html.sanitize_all_fields HTML selon les attributs sur liste d’exclusion et d’inclusion configurés dans un script.

    Les types de champs disponibles avec le dictionnaire/les champs incluent HTML et HTML traduit. Ces champs d’entrée HTML permettent aux utilisateurs d’écrire une entrée au format HTML, par exemple :

    <h1>Test</h1>), en utilisant les balises HTML les plus basiques telles que <img>, <a href …>, et <iframe>.

    Cela peut ouvrir la porte à un attaquant malveillant pour injecter un vecteur malveillant avec des balises HTML telles que :

    [<IMG SRC=" &#14; JavaScript:alert('XSS');">][<IMG onmouseover="alert('xss')">],[a href=" » onclick=alert(/xss/)].

    En savoir plus

    Attribut Description
    Nom de la propriété glide.html.sanitize_all_fields
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, nettoyage et codage
    Objectif Empêche les applications contre les attaques de script de site à site et d’injection HTML
    Valeur recommandée VRAI
    Valeur par défaut VRAI
    Cote de risque de sécurité 8.8
    Impact fonctionnel (Élevé) Cette correction applique un mécanisme de codage de sortie HTML avant que les données utilisateur ne soient restituées à l’utilisateur. Si le client dispose d’une personnalisation qui implique le rendu de l’attribut HTML ou des données de contenu, il y a un impact sur la fonctionnalité.
    Risque de sécurité (Élevé) L’entrée de l’utilisateur doit être traitée en toute sécurité lorsque les données sont stockées et traitées sur l’application. Cela réduit les attaques de script de site à site côté client en encodant les données en sortie.
    Solution de contournement

    Cette propriété nettoie tous les champs HTML du système. Si vous devez activer l’assainissement HTML sur des champs individuels, voir Activer l’assainissement sur des champs individuels.

    Vous pouvez également configurer la liste d’inclusion ou la liste d’exclusion pour nettoyer les balises et les attributs HTML conformément à la politique de votre organisation.
    Références

    Activation de l’assainisseur HTML

    Assainisseur HTML

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.