Désactiver le code HTML intégré [Mis à jour dans Centre de sécurité 1.3]

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Utilisez la propriété pour désactiver la prise en charge de l’incorporation glide.ui.security.allow_codetag du code HTML créé à l’aide de la balise [code].

    Désactiver la prise en charge de l’affichage du code HTML incorporé à l’aide de la balise [code]. Cette balise permet au HTML rendu de s’afficher dans les champs de journal et peut entraîner des attaques de script de site à site (XSS). Ces attaques peuvent permettre à des scripts étrangers de s’exécuter sur une session utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent utiliser ces scripts pour voler des informations de session et des données sensibles. Le langage HTML n’a pas été conçu pour séparer le script du formatage, donc permettre le HTML contrôlé par l’utilisateur dans n’importe quel système comporte un risque inhérent.

    Définir la glide.ui.security.codetag.allow_script sur faux est conforme et réduit considérablement ce risque, mais un petit risque demeure. Il désactive uniquement la partie script d’une balise de code et s’appuie sur le nettoyage de toutes les conventions connues du script dans le HTML.

    Définissez la propriété système glide.ui.security.allow_codetag sur false pour interdire complètement aux champs et formulaires journaux d’afficher du contenu HTML rendu.

    Il Now Platform atténue de nombreuses attaques par injection et cross-site en mettant en œuvre des techniques d’échappement et d’encodage. Par conséquent, les utilisateurs ne peuvent pas écrire/soumettre d’entrées au format HTML pour les champs journal. Mais les champs journaux peuvent rendre le texte entouré de balises de code en HTML.
    • Cependant, il existe un risque de sécurité associé. Si la valeur est définie sur vrai, les utilisateurs malveillants peuvent écrire du code JS HTML nuisible qui peut être exécuté sur un navigateur client différent après le rendu des champs de journal.
    • Définissez cette propriété sur faux afin que les administrateurs puissent empêcher les champs de journal de rendre le code HTML en désactivant la prise en charge de la balise [code].

    En savoir plus

    Attribut Description
    Nom de la propriété glide.ui.security.allow_codetag
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, nettoyage et codage
    Configurer dans le centre de sécurité de l’instance Oui
    Objectif Protégez-vous contre le script de site à site et l’exécution de scripts malveillants
    Valeur recommandée faux
    Valeur par défaut VRAI
    Cote de risque de sécurité 4.2
    Impact fonctionnel Cette correction force l’encodage HTML à se produire sur l’interface utilisateur et rend les résultats encodés à l’utilisateur.

    Cette propriété est définie sur vrai par défaut. Dans cet état, votre instance affiche le rendu HTML dans les champs de journal et les formulaires.

    Si cette propriété est définie sur false, HTML n’est pas affiché correctement et les balises HTML peuvent apparaître dans les champs de journal des formulaires. Elle peut avoir un impact négatif sur les fonctionnalités et sur les interactions des utilisateurs avec les données résultantes.
    Risque de sécurité (Moyen) La validation de l’entrée doit avoir lieu dans l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur une session utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles.