Échapper à JavaScript [mis à jour dans Centre de sécurité 1.3]
Utilisez cette propriété pour forcer l’échappement glide.html.escape_script des balises JavaScript (<script></script>) dans les champs HTML au cours des vues de listes.
La propriété glide.html.escape_script Glide permet de nettoyer les champs HTML. Si glide.html.escape_script cette option n’est pas définie sur la valeur conseillée true, les entrées ne seront pas nettoyées pour les champs HTML (codage de sortie) d’un contexte Java back-end en supprimant le JavaScript intégré. Javascript dans les champs HTML peut entraîner des XSS stockés et reflétés. La possibilité d’avoir un XSS peut conduire à une escalade de privilège facilement atteinte vers des rôles plus élevés tels que l’administrateur où un mouvement plus latéral peut être effectué.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.html.escape_script |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Pour empêcher les attaques de script de site à site contre une application. |
| Valeur recommandée | VRAI |
| Valeur par défaut | VRAI |
| Cote de risque de sécurité | 8.8 |
| Impact fonctionnel | Cette correction impose l’échappement de JavaScript dans l’interface utilisateur et rend les résultats encodés à l’utilisateur. Elle peut avoir un impact sur la fonctionnalité, en fonction de l’interaction de l’utilisateur de l’instance avec les données résultantes |
| Risque de sécurité | (Élevé) La validation de l’entrée doit avoir lieu dans l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur la session utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles. |
| Références |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.