gs.addErrorMessageNoSanitizationMessaging() et gs.addInfoMessageNoSanitization() sont utilisés dans l’environnement de script pour la journalisation et les notifications. Ces deux éléments sont disponibles dans le bac à sable si cette propriété n’est pas définie sur la valeur recommandée faux Le bac à sable est un environnement de script avec peu de privilèges disponible pour les utilisateurs non authentifiés et sans rôle. Ces deux méthodes peuvent être utilisées pour afficher une entrée non expurgée à un utilisateur. L’affichage d’une entrée non expurgée à l’utilisateur est dangereux, car l’entrée non expurgée peut contenir du code dangereux qui s’exécute dans le navigateur de l’utilisateur. Cela peut être utilisé pour les attaques XSS réfléchies traditionnelles. Les attaques XSS réfléchies peuvent être utilisées dans plusieurs scénarios, y compris le détournement de session.

Définissez glide.sandbox.usersession.allow_unsanitized_messages propriété système sur faux. Si cette propriété n’est pas enregistrée dans la table Propriétés système [sys_properties], créez-en une.

En savoir plus