Activer l’assainisseur HTML [mis à jour dans Centre de sécurité 1.3]
Utilisez la propriété pour activer l’include de script HTMLSanitizer, qui nettoie l’entrée HTML selon les attributs figurant sur la glide.html.sanitize_all_fields liste d’exclusion et la liste d’inclusion configurés dans un script.
Les types de champs disponibles avec le dictionnaire/les champs comprennent HTML et HTML traduit. Ces champs d’entrée HTML permettent aux utilisateurs d’écrire une entrée au format HTML, par exemple :
<h1>Testez</h1> en utilisant les balises HTML les plus basiques telles que <img>, <a href …>et <iframe>.
Cela peut ouvrir la porte à un attaquant malveillant pour injecter un vecteur malveillant avec des balises HTML telles que :
[<IMG SRC="  JavaScript:alert('XSS');">][],<IMG onmouseover="alert('xss')">[a href=" » onclick=alert(/xss/)].
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.html.sanitize_all_fields |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Empêche l’application contre les attaques de script de site à site et d’injection HTML |
| Valeur recommandée | VRAI |
| Valeur par défaut | VRAI |
| Cote de risque de sécurité | 8.8 |
| Impact fonctionnel | Cette correction applique un mécanisme de codage de sortie HTML avant que les données utilisateur ne soient restituées à l’utilisateur. Si le client dispose d’une personnalisation qui implique le rendu de l’attribut HTML ou des données de contenu, il y a un impact sur la fonctionnalité. |
| Risque de sécurité | (Élevé) L’entrée de l’utilisateur doit être traitée en toute sécurité lorsque les données sont stockées et traitées sur l’application. Cela réduit les attaques de script de site à site côté client en encodant les données de sortie. |
| Solution de contournement | Cette propriété nettoie tous les champs HTML du système. Si vous devez activer l’assainissement HTML sur des champs individuels, consultez Activer l’assainissement sur des champs individuels. Vous pouvez également configurer la liste d’inclusion ou la liste d’exclusion pour nettoyer les attributs et les balises HTML conformément à la politique de votre organisation. |
| Références |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.