Jelly/JS-Interpolation (Härtung der Instanzsicherheit)
Verwenden Sie die Eigenschaft glide.ui.jelly.js_interpolation.protect, um sicherzustellen, dass JavaScript-Code, der auf einer Jelly-Seite ausgeführt werden soll, mithilfe der Jelly-Interpolation vor der Eingabe geschützt wird.
- Versieht ihre Ergebnisse aus Sicherheitsgründen mit Escape-Zeichen, oder
- Wenn ihre Sicherheit nicht garantiert werden kann, generiert eine SecurityException, da der Ausdruck, der ausgewertet werden sollte, ein mögliches Sicherheitsproblem darstellt.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.jelly.js_interpolation.schützen |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Zur Verringerung von Angriffen mit Ausführung von böswilligem Code, die durch Jelly-Injektion auftreten können. |
| Empfohlener Wert | Wahr |
| Funktionale Auswirkung | (Hoch) Diese Eigenschaft ermittelt am besten, ob ein Ausdruck in Anführungszeichen steht. Möglicherweise wird ein gültiger Ausdruck falsch in Anführungszeichen gesetzt. In diesem Fall kann es erforderlich sein, einen Ausdruck manuell als sicher zu kennzeichnen. |
| Sicherheitsrisiko | (Mittel) Die JEXL-Injektion ist eine für Now Platform eindeutige Form der Eingabeinjektion, die sowohl zur standortübergreifenden Anforderungsfälschung als auch zur Codeausführung führen kann. Wenn Sie den Schutz vollständig deaktivieren, können möglicherweise viele P1-Sicherheitsschwachstellen geöffnet werden. |
| Workaround | Um einen Ausdruck manuell als sicher zu kennzeichnen, fügen Sie dem Jelly-Ausdruck das SAFE-Präfix hinzu:
Das blinde Hinzufügen von SAFE zu jedem Ausdruck ist die falsche Herangehensweise an das Problem, da dadurch eine Sicherheitslücke geöffnet werden kann.
|
| Referenzen | Jelly Tags |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.