Activer l’assainisseur HTML dans Agent virtuel [Mise à jour dans Centre de sécurité 1.3 et 1.5]
Utilisez la propriété pour activer HTMLSanitizerService com.glide.cs.html.sanitizer.enabled .
Cette propriété contrôle si HtmlSanitizerService est activé. Si com.glide.cs.html.sanitizer.enabled la valeur n’est pas définie sur vrai, une attaque de script de site à site stocké (XSS) est possible dans le client Web VA.
En savoir plus
Avertissement :
Il s’agit d’une propriété de la sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.
| Attribut | Description |
|---|---|
| Nom de la propriété | com.glide.cs.html.sanitizer.enabled |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Empêche l’application contre les attaques de script de site à site et d’injection HTML. |
| Valeur recommandée | vrai |
| Valeur par défaut | vrai |
| Cote de risque de sécurité | 8 |
| Impact fonctionnel | Cette correction applique un mécanisme de codage de sortie HTML avant que les données utilisateur ne soient restituées à l’utilisateur. Si le client dispose d’une personnalisation qui implique le rendu de l’attribut HTML ou des données de contenu, il y a un impact sur la fonctionnalité. |
| Risque de sécurité | (Élevé) L’entrée de l’utilisateur doit être traitée en toute sécurité lorsque les données sont stockées et traitées sur l’application. Cela réduit les attaques de script de site à site côté client en encodant les données de sortie. |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.