HTML d’échappement dans les vues de listes [Mis à jour dans Centre de sécurité 1.3 et 1.5]

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Utilisez cette propriété pour forcer les glide.ui.escape_html_list_field caractères d’échappement HTML pour les champs HTML d’une vue de liste.

    Définissez glide.ui.escape_html_list_field la valeur sur vrai pour empêcher le rendu HTML dans les champs HTML de la vue de liste. Laisser le nettoyage HTML inactif à l’échelle de la plateforme (via la propriété système) ou par champ (via un attribut de schéma) peut entraîner des attaques de type XSS. Les attaques XSS peuvent permettre à un utilisateur ayant des privilèges faibles de détourner la session d’un utilisateur ayant des privilèges élevés ou d’interférer dans les comportements standard des applications Web, y compris les redirections ou les altérations.

    Avertissement :
    Il s’agit d’une propriété de la sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. C’est non réversible.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.ui.escape_html_list_field
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, nettoyage et codage
    Objectif Pour aider à prévenir les attaques de script de site à site des applications
    Valeur recommandée vrai
    Valeur par défaut vrai
    Cote de risque de sécurité 3.1
    Impact fonctionnel Cette correction force l’encodage HTML à se produire sur l’interface utilisateur au niveau de l’analyseur HTML et rend ainsi les résultats encodés à l’utilisateur. Elle peut avoir un impact fonctionnel basé sur l’interaction de l’utilisateur de l’instance avec les données obtenues.
    Risque de sécurité (Élevé) La validation de l’entrée doit avoir lieu sur l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur les sessions utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles.
    Références

    Paramètres de sécurité élevée

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.