Jelly JS 보간 보호 사용
이 glide.ui.jelly.js_interpolation.protect 속성을 사용하여 Jelly 페이지에서 실행될 JavaScript가 Jelly 보간을 통해 삽입으로부터 보호되도록 합니다.
- 안전을 위해 결과를 피하거나
- 안전을 보장할 수 없는 경우 평가될 식이 가능한 보안 문제를 나타내기 때문에 SecurityException을 생성합니다.
경고:
이는 세이프 하버 속성이므로 변경된 후에는 값을 변경할 수 없습니다. 되돌릴 수 없습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.ui.jelly.js_interpolation.protect |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 확인, 위생 및 인코딩 |
| 목적 | Jelly Injection을 사용하여 발생할 수 있는 악성 코드 실행 공격을 완화합니다. |
| 권장 값 | 예 |
| 기본값 | 거짓 |
| 보안 위험 등급 | 9 |
| 기능적 영향 | (높음) 이 속성은 표현식이 따옴표로 묶였는지 여부를 가장 잘 추측합니다. 정당한 표현을 잘못 인용할 수 있습니다. 이 경우 식을 수동으로 안전한 것으로 표시해야 할 수 있습니다. |
| 보안 위험 | (보통) JEXL 인젝션은 크로스 사이트 요청 위조 및 코드 실행으로 이어질 수 있는 고유한 입력 인젝션의 Now Platform 한 형태입니다. 보호 기능을 완전히 해제하면 많은 P1 보안 취약점이 발생할 수 있습니다. |
| 임시 해결책 | 표현식을 수동으로 안전한 것으로 표시하려면 Jelly 표현식에 SAFE 접두사를 추가합니다.
각 표현식에 SAFE를 맹목적으로 추가하는 것은 보안 취약점을 유발할 수 있으므로 문제에 접근하는 잘못된 방법입니다.
|
| 참조 | Jelly 태그 |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 을 참조하십시오 Add a system property.