HTML 위생 프로그램(인스턴스 보안 강화)
이 glide.html.sanitize_all_fields 속성을 사용하여 스크립트에 구성된 제외 목록 및 포함 목록 속성을 기반으로 HTML 입력을 삭제하는 HTMLSanitizer 스크립트 포함을 활성화합니다.
딕셔너리/필드에서 사용할 수 있는 필드 유형에는 HTML 및 번역된 HTML이 포함됩니다. 이러한 HTML 입력 필드를 통해 사용자는 다음과 같은 HTML 형식의 입력을 작성할 수 있습니다.
<h1>Test</h1>), , <a href …>, 및 <iframe>와 같은 <img>가장 기본적인 HTML 태그를 사용합니다.
악의적인 공격자가 다음과 같은 HTML 태그로 악성 벡터를 삽입할 수 있는 문이 열릴 수 있습니다.
[<IMG SRC="  JavaScript:alert('XSS');">][<IMG onmouseover="alert('xss')">],[a href="" onclick=alert(/xss/)]입니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.html.sanitize_all_fields |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 인스턴스 보안 센터에서 구성 | 예 |
| 목적 | 교차 사이트 스크립팅 및 HTML 삽입 공격에 대한 응용 프로그램 방지 |
| 권장 값 | 예 |
| 기능적 영향 | (높음) 이 정정은 사용자 데이터가 사용자에게 다시 렌더링되기 전에 HTML 출력 인코딩 메커니즘을 적용합니다. 고객이 HTML 속성 또는 컨텐츠 데이터의 렌더링과 관련된 커스터마이제이션을 가지고 있는 경우 기능에 영향을 미칩니다. |
| 보안 위험 | (높음) 사용자 입력은 데이터가 애플리케이션에서 저장 및 처리될 때 안전하게 처리되어야 합니다. 이렇게 하면 데이터를 출력으로 인코딩하여 클라이언트 측 사이트 간 스크립팅 공격을 줄일 수 있습니다. |
| 임시 해결책 | 이 속성은 시스템의 모든 HTML 필드를 삭제합니다. 개별 필드에서 HTML 위생화를 활성화해야 하는 경우 개별 필드에서 위생 활성화를 참조하십시오. 조직 정책에 따라 HTML 태그와 속성을 삭제하도록 포함 목록 또는 제외 목록을 구성할 수도 있습니다. |
| 참조 |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 을 참조하십시오 Add a system property.