Nicht bereinigten HTML-Code überprüfen (Härtung der Instanzsicherheit)

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft com.glide.security.check_unsanitized_html, um das Bereinigungsverhalten von „translated_html“-Feldern auf globaler Ebene für Feldzuweisungen zu erzwingen.

    HTML ist einer der Typen, die den Wörterbuchfeldern zugewiesen werden können. Die Zuweisung von HTML-Feldern zu einem beliebigen Feldtyp bietet die Funktionalität zum Formatieren von Inhalten mithilfe von HTML-Tags (z. B. <p>, <a href>, <b>, <font>, <img>). Um böswillige Aktivitäten zu verhindern, können bestimmte HTML-Tags mithilfe einer Sperrliste gesperrt werden. Diese Eigenschaft verhindert, dass unzulässige Tags in „translated_html“-Feldern in Ihrer Instanz verwendet werden.
    • Legen Sie diese Eigenschaft fest, um das Bereinigungsverhalten von „translated_html“-Feldern zu erzwingen.
    • Legen Sie die Eigenschaft auf „disable“ fest, um die HTML-Bereinigung zu deaktivieren und blockierte HTML-Tags in „translated_html“-Feldern zuzulassen.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname com.glide.security.check_unsanitized_html
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Konfigurieren Sie im Instanz-Sicherheitszentrum Ja
    Zweck Verhindert die Verwendung unsicherer HTML-Tags zum Schutz vor Angriffen wie websiteübergreifendem Skripting.
    Typ Zeichenfolge
    Empfohlener Wert erzwingen
    Funktionale Auswirkung (Mittel) Diese Fehlerkorrektur erzwingt die HTML-Bereinigung in der Benutzeroberfläche und rendert übersetzte HTML-Felder für den Benutzer. Dies kann Auswirkungen auf die Lesbarkeit und Formatierung haben.
    Sicherheitsrisiko (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts für Benutzersitzungen im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen.
    Referenzen HTML-Bereinigung

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.