埋め込み HTML コードの許可 (インスタンスセキュリティ強化)
glide.ui.security.allow_codetag プロパティを使用して、[code] タグを使用して作成された HTML コードの埋め込みサポートを無効にします。
Now Platform は、エスケープおよびエンコード技術を実装することで、多くのインジェクション攻撃とクロスサイト攻撃を軽減します。その結果、ユーザーはジャーナルフィールドに対して HTML 形式の入力の書き込みや送信ができなくなります。しかしジャーナルフィールドでは、コードタグで囲まれたテキストを HTML としてレンダリングできます。
- ただし、関連するセキュリティリスクがあります。true に設定すると、悪意のあるユーザーは、ジャーナルフィールドをレンダリングした後に、別のクライアントブラウザーで実行できる有害な HTML JS コードを書き込むことができます。
- このプロパティを false に設定すると、
[code]タグのサポートを無効にすることで、ジャーナルフィールドで HTML コードがレンダリングされないようにすることができます。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.ui.security.allow_codetag |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| Instance Security Center での構成 | あり |
| 目的 | クロスサイトスクリプティングと悪意のあるスクリプトの実行からの保護 |
| 推奨値 | false |
| 機能への影響度 | (中) この修正では、UI で強制的に HTML エンコードが行われ、エンコードされた結果がユーザーに対してレンダリングされます。 このプロパティはデフォルトで [true] に設定されています。このステータスでは、インスタンスはジャーナルフィールドとフォームにレンダリングされた HTML を表示します。 このプロパティを falseに設定すると、HTML が正しくレンダリングされず、フォームのジャーナルフィールドに HTML タグが表示される場合があります。これは、機能に悪影響を及ぼし、結果のデータを用いたユーザーインタラクションに悪影響を与える可能性があります。 |
| セキュリティリスク | (中) クロスサイトスクリプティング攻撃から防御するために、アプリケーションで入力検証を行う必要があります。これらの攻撃により、ログインしているブラウザーのコンテキストで、ユーザーセッションで外部スクリプトが実行される可能性があります。攻撃者はこれを使用してセッション情報と機密データを盗むことができます。 |
| 参照 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。