Jelly/JS 보간(인스턴스 보안 강화)

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기1분

    • glide.ui.jelly.js_interpolation.protect 속성을 사용하여 Jelly 페이지에서 실행될 JavaScript가 Jelly 보간을 통해 삽입으로부터 보호되도록 합니다.

    속성을 true로 설정하면 응용 프로그램이 Jelly 스크립트 트리(중첩됨)를 거칩니다. 잠재적으로 위험한 Jelly 표현식을 다음과 같은 필터로 래핑합니다.
    • 안전을 위해 결과를 피하거나
    • 안전을 보장할 수 없는 경우 평가될 식이 가능한 보안 문제를 나타내기 때문에 SecurityException을 생성합니다.

    추가 정보

    속성 설명
    속성 이름 glide.ui.jelly.js_interpolation.protect
    구성 유형 시스템 속성(/sys_properties_list.do)
    인스턴스 보안 센터에서 구성
    목적 Jelly Injection을 사용하여 발생할 수 있는 악성 코드 실행 공격을 완화합니다.
    권장 값
    기능적 영향 (높음) 이 속성은 표현식이 따옴표로 묶였는지 여부를 가장 잘 추측합니다. 정당한 표현을 잘못 인용할 수 있습니다. 이 경우 식을 수동으로 안전한 것으로 표시해야 할 수 있습니다.
    보안 위험 (중간) JEXL 인젝션은 크로스 사이트 요청 위조 및 코드 실행으로 이어질 수 있는 고유한 입력 인젝션의 Now Platform 한 형태입니다. 보호 기능을 완전히 해제하면 많은 P1 보안 취약점이 발생할 수 있습니다.
    임시 해결책

    표현식을 수동으로 안전한 것으로 표시하려면 Jelly 표현식에 SAFE 접두사를 추가합니다.

    ${SAFE:sysparm_input};

    각 표현식에 SAFE를 맹목적으로 추가하는 것은 보안 취약점을 유발할 수 있으므로 문제에 접근하는 잘못된 방법입니다.
    • 식에 클라이언트의 입력이 포함되지 않도록 보장할 수 있는 경우에만 식에 SAFE를 추가합니다.
    • 이 경우 악의적인 클라이언트가 권한 있는 JavaScript를 평가할 수 있습니다.
    참조 Jelly 태그

    높은 보안 설정

    시스템 속성 추가 또는 생성에 대한 자세한 내용은 을 참조하십시오 Add a system property.