AJAXGlideRecord ACL チェックの有効化 (インスタンスセキュリティ強化)
glide.script.secure.ajaxgliderecord プロパティを使用して、クライアントスクリプト内で GlideAjax API を使用してサーバー側のレコード (テーブルなど) にアクセスする場合にアクセス制御リスト (ACL) ルール検証を実行します。
クライアントスクリプトから、AJAXGlideRecord (GlideAjax -クライアント) API。サーバー側の Glide レコードなどの構文を使用します。多くの展開で、これは強力で便利なツールです。
アクセス制御リスト (ACL) を GlideAjax API 呼び出しに適用することを選択すると、現在接続しているユーザーがアクセスできるデータのみをクエリーできます。たとえば、cmn_location テーブルを読み取る権限のない ESS ユーザーがログインすると、そのテーブルに対する GlideAjax API 呼び出しは失敗します。
Now Platform が GlideAjax ACL 呼び出しのチェックなしで実行されている場合、API は、現在ログインしているユーザーが他の方法ではアクセスできない情報を返す可能性があります。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.script.secure.ajaxgliderecord |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| Instance Security Center での構成 | あり |
| 目的 | クライアント側 API を介してレコードにアクセスする場合でも、セキュリティ ACL が確実にチェックおよび検証されるようすること |
| 推奨値 | true |
| 機能への影響度 | (高) この修正では、AJAXGlideRecord API 呼び出しを使用して要求が行われた場合に、サーバー側レコードとの ACL 関係が適用されます。ACL 構成が適切に設定されていない場合、影響を受ける可能性があります。影響度とその識別方法の詳細については、「クライアント側 GlideRecord (AJAXGlideRecord) トランザクションの監査とレビューに関する記事 [KB0550828] (HI ナレッジベース で入手可能)」を参照してください。 |
| セキュリティリスク | (高) クライアントスクリプトを使用すると、GlideAjax API を介してサーバーから任意のデータをクエリーできます。サーバー側のリソースには適切な承認なしでアクセスできるため、ACL 検証を使用すると、アプリケーションで設定された承認に基づいて要求を検証するのに役立ちます。 |
| ワークアラウンド | GlideAjax (AJAXGlideRecord) API で使用されるスクリプトインクルード、プロセッサー、およびその他のエンティティに対して適切な ACL が作成され、適切な承認の下で実行されるようにします。
もう 1 つの方法は、GlideRecordSecure を使用することです。このクラスは GlideRecord サーバーから継承され、GlideRecord と同じ関数を実行し、ACL も適用します。 |
| 参照 | ACL を AJAXGlideRecord (クライアント側の Glide レコード) に追加 このプロパティは、クライアントからのスクリプトの実行を保護および制限するプロパティと同じファミリーに属します。
|
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。