이스케이프 XML 태그[Security Center 1.3에서 업데이트됨]
이 glide.ui.escape_text 속성을 사용하여 XML 값을 클라이언트의 브라우저로 전송하기 전에 파서 수준에서 강제로 이스케이프합니다.
교차 사이트 스크립팅은 공격자가 엔트리포인트에 악성 JavaScript를 삽입할 때 발생합니다. 플랫폼/응용 프로그램은 실행을 위해 피해자의 브라우저로 전송하기 전에 악성 JavaScript를 이스케이프하지 못합니다. 이 컨텍스트에서 이스케이프는 다음을 의미합니다.
- & -->
& - < -->
< - > -->
> - " -->
" - ' -->
' - / -->
/
예: <![CDATA[<script>alert('XSS Attack');]] >
이스케이프: <script>alert('XSS 공격'); </스크립트>
glide.ui.escape_text 속성이 sys_properties 테이블에 있고 true로 설정되어 있는지 확인합니다.
경고:
이는 세이프 하버 속성이므로 변경된 후에는 값을 변경할 수 없습니다. 되돌릴 수 없습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.ui.escape_text |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 확인, 위생 및 인코딩 |
| 목적 | 이스케이프 XML을 사용하면 브라우저가 신뢰할 수 없는 데이터에 포함된 악성 JavaScript를 구문 분석하지 않고 JavaScript로 실행할 수 있습니다.
|
| 권장 값 | 예 |
| 보안 위험 등급 | 8.8 |
| 기능적 영향 | (중간) 이 정정은 UI의 XML 파서 수준에서 XML 인코딩을 적용합니다. 이는 사용자를 위해 인코딩된 결과를 렌더링하며, 이는 결과 데이터와 인스턴스 사용자의 상호작용에 따라 기능에 영향을 미칠 수 있습니다. |
| 보안 위험 | (높음) 교차 사이트 스크립팅 공격을 방어하기 위해 애플리케이션에서 입력 유효성 검사를 수행해야 합니다. 이러한 공격을 통해 외부 스크립트는 로그인된 브라우저의 컨텍스트에서 사용자 세션에서 실행될 수 있습니다. 공격자는 이를 사용하여 세션 정보와 중요한 데이터를 훔칠 수 있습니다. |
| 임시 해결책 | 이 속성을 true로 설정하면 카탈로그 항목 설명이나 카탈로그 항목 변수 도움말 텍스트의 HTML 태그에서 렌더링이 중지됩니다. 일부 필드에는 HTML 서식을 사용하지 못할 수도 있습니다. 그러나 속성이 켜져 있으면 glide.ui.escape_text 모든 JEXL 표현식에 출력 인코더가 접두사로 붙습니다.
또는
|