HTML d’échappement dans les vues de listes [Mis à jour dans Centre de sécurité 1.3 et 1.5]

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Utilisez cette propriété pour forcer les glide.ui.escape_html_list_field caractères d’échappement HTML pour les champs HTML d’une vue de liste.

    Cette propriété permet de nettoyer l’affichage en vue liste des champs HTML. Si glide.ui.escape_html_list_field la valeur n’est pas définie sur la valeur conseillée vrai, un utilisateur malveillant peut injecter du code HTML dans le champ de formulaire pour exécuter des scripts indésirables sur différentes sessions client/utilisateur. Cela pourrait potentiellement être exploité par des attaquants pour voler des informations de session et des données sensibles.

    Avertissement :
    Il s’agit d’une propriété de la sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.ui.escape_html_list_field
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, nettoyage et codage
    Objectif Pour empêcher les applications de s’attaquer par script de site à site
    Valeur recommandée VRAI
    Valeur par défaut VRAI
    Cote de risque de sécurité 8.8
    Impact fonctionnel Cette correction force l’encodage HTML à se produire sur l’interface utilisateur au niveau de l’analyseur HTML et rend ainsi les résultats encodés à l’utilisateur. Elle peut avoir un impact fonctionnel basé sur l’interaction de l’utilisateur de l’instance avec les données obtenues.
    Risque de sécurité (Élevé) La validation de l’entrée doit avoir lieu sur l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur les sessions utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles.
    Références

    Paramètres de sécurité élevée

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.