Deaktivieren Sie JavaScript-Tags in eingebettetem HTML
Verwenden Sie die Eigenschaft glide.ui.security.codetag.allow_script, um die Unterstützung für die Einbettung von HTML-JavaScript-Code zu deaktivieren, der mit dem Tag [code] erstellt wurde.
Now Platform mindert viele Einschleusungs- und Cross-Site-Angriffe durch die Implementierung von Escaping- und Codierungstechniken. Daher können Benutzer keine HTML-formatierten Eingaben für Journalfelder schreiben und übermitteln. Journalfelder können jedoch in Code-Tags eingeschlossenen Text als HTML darstellen. Stellen Sie sicher, dass die Eigenschaft glide.ui.security.codetag.allow_script in der Tabelle „sys_properties“ vorhanden und auf „false“ festgelegt ist.
- Es besteht jedoch ein Sicherheitsrisiko. Bei Festlegung auf truekönnen böswillige Benutzer schädlichen HTML-JavaScript-Code schreiben, der nach dem Rendern von Journalfeldern in einem anderen Client-Browser ausgeführt werden kann.
- Setzen Sie diese Eigenschaft auf „ false “, damit Administratoren verhindern können, dass Journalfelder HTML-JavaScript-Code rendern, indem sie die Unterstützung für das Tag
[code]deaktivieren.
Warnung:
Dies ist eine Safe-Harbor-Eigenschaft, was bedeutet, dass der Wert nicht mehr geändert werden kann, nachdem er geändert wurde. Er kann nicht rückgängig gemacht werden.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.security.codetag.allow_script |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Schützt vor websiteübergreifendem Skripting und der Ausführung böswilliger Skripts |
| Empfohlener Wert | false |
| Sicherheitsrisikobewertung | 8.8 |
| Funktionale Auswirkung | (Mittel) Diese Fehlerkorrektur erzwingt JavaScript-Escaping in der Benutzeroberfläche und rendert die codierten Ergebnisse für den Benutzer. Sie kann sich basierend auf der Interaktion des Instanzbenutzers mit den resultierenden Daten auf die Funktionalität auswirken. |
| Sicherheitsrisiko | (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in der Benutzersitzung im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen. |
| Referenzen | Beschränken Sie das CODE-Tag in Journalfeldern |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.