JavaScript-Tags in eingebettetem HTML zulassen (Härtung der Instanzsicherheit)
Die Eigenschaft glide.ui.security.codetag.allow_script deaktiviert die Unterstützung für die Einbettung von HTML-JavaScript-Code, der mit dem Tag [code] erstellt wurde.
Hinweis:
Diese Eigenschaft ist in Vancouver und späteren Releases standardmäßig auf „ true “ festgelegt und kann von Administratoren nicht geändert werden. Wenden Sie sich für einen Anwendungsfall, bei dem die Eigenschaft geändert werden muss, an den Kundensupport.
Now Platform mindert viele Einschleusungs- und Cross-Site-Angriffe durch die Implementierung von Escaping- und Codierungstechniken. Daher können Benutzer keine HTML-formatierten Eingaben für Journalfelder schreiben und übermitteln. Journalfelder können jedoch in Code-Tags eingeschlossenen Text als HTML darstellen.
- Es besteht jedoch ein Sicherheitsrisiko. Bei Festlegung auf truekönnen böswillige Benutzer schädlichen HTML-JavaScript-Code schreiben, der nach dem Rendern von Journalfeldern in einem anderen Client-Browser ausgeführt werden kann.
- Setzen Sie diese Eigenschaft auf „ false “, damit Administratoren verhindern können, dass Journalfelder HTML-JavaScript-Code rendern, indem sie die Unterstützung für das Tag
[code]deaktivieren.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.security.codetag.allow_script |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Schützt vor websiteübergreifendem Skripting und der Ausführung böswilliger Skripts |
| Empfohlener Wert | false |
| Funktionale Auswirkung | (Mittel) Diese Fehlerkorrektur erzwingt JavaScript-Escaping in der Benutzeroberfläche und rendert die codierten Ergebnisse für den Benutzer. Sie kann sich basierend auf der Interaktion des Instanzbenutzers mit den resultierenden Daten auf die Funktionalität auswirken. |
| Sicherheitsrisiko | (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in der Benutzersitzung im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen. |
| Referenzen | Beschränken Sie das CODE-Tag in Journalfeldern |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.