포함된 HTML에서 JavaScript 태그 사용 안 함[Security Center 1.3에서 업데이트됨]
이 glide.ui.security.codetag.allow_script 속성을 사용하여 [code] 태그를 사용하여 만든 HTML JavaScript 코드를 포함하기 위한 지원을 비활성화합니다.
이스 Now Platform 케이프 및 인코딩 기술을 구현하여 많은 주입 및 사이트 간 공격을 완화합니다. 따라서 사용자는 저널 필드에 대한 HTML 형식의 입력을 쓰고 제출할 수 없습니다. 그러나 저널 필드는 코드 태그로 묶인 텍스트를 HTML로 렌더링할 수 있습니다. glide.ui.security.codetag.allow_script 속성이 sys_properties 테이블에 있고 false로 설정되어 있는지 확인합니다.
- 그러나 이와 관련된 보안 위험이 있습니다. true로 설정하면 악의적인 사용자가 저널 필드를 렌더링한 후 다른 클라이언트 브라우저에서 실행될 수 있는 유해한 HTML JavaScript 코드를 작성할 수 있습니다.
- 관리자가
[code]태그에 대한 지원을 사용 안함으로 설정하여 저널 필드가 HTML JavaScript 코드를 렌더링하지 못하도록 할 수 있도록 이 특성을 false로 설정하십시오.
경고:
이는 세이프 하버 속성이므로 변경된 후에는 값을 변경할 수 없습니다. 되돌릴 수 없습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.ui.security.codetag.allow_script |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 확인, 위생 및 인코딩 |
| 목적 | 교차 사이트 스크립팅 및 악의적인 스크립트 실행으로부터 보호 |
| 권장 값 | 거짓 |
| 기본값 | 거짓 |
| 보안 위험 등급 | 8.8 |
| 기능적 영향 | (중간) 이 정정은 JavaScript 이스케이프가 UI에서 발생하도록 적용하고 인코딩된 결과를 사용자에게 렌더링합니다. 이는 결과 데이터와 인스턴스 사용자의 상호작용에 따라 기능에 영향을 미칠 수 있습니다. |
| 보안 위험 | (높음) 교차 사이트 스크립팅 공격을 방어하기 위해 애플리케이션에서 입력 유효성 검사를 수행해야 합니다. 이러한 공격을 통해 외부 스크립트는 로그인된 브라우저의 컨텍스트에서 사용자 세션에서 실행할 수 있습니다. 공격자는 이를 사용하여 세션 정보와 중요한 데이터를 훔칠 수 있습니다. |
| 참조 |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 을 참조하십시오 Add a system property.