GlideSecurityUtils - スコープ指定、グローバル
GlideSecurityUtils API は、URL を操作するためのメソッドを提供します。
これらのメソッドにアクセスするには、静的オブジェクト GlideSecurityUtils を使用します。このクラスは、スコープ対象のスクリプトとグローバルスクリプトで使用できます。
GlideSecurityUtils - cleanURL(文字列 url)
不審なエンコーディングを削除して、反映されたクロスサイトスクリプティングまたは DOM ベースのクロスサイトスクリプティングを防止します。
| 名前 | タイプ | 説明 |
|---|---|---|
| url | 文字列 | 確認する URL。 |
| タイプ | 説明 |
|---|---|
| 文字列 | 問題要素を削除した URL。 |
myurl='javascript%3Aalert(1)';
var clean=GlideSecurityUtils.cleanURL(myurl);
gs.info(clean);出力:null
GlideSecurityUtils - enforceRelativeURL(文字列 url)
URL からドメインアドレスを削除し、ページ名とパラメーターを残します。
| 名前 | タイプ | 説明 |
|---|---|---|
| url | 文字列 | 相対 URL に変換する URL。 |
| タイプ | 説明 |
|---|---|
| 文字列 | 相対 URL。 |
myurl='http://evildomain.com/test.do';
relativeURL=GlideSecurityUtils.enforceRelativeURL(myurl);
gs.info(relativeURL);出力:test.do
GlideSecurityUtils - escapeScript(文字列 script)
スクリプトにエスケープ文字を追加します。
スクリプトにエスケープ文字を追加すると、クロスサイトスクリプティングを防止できます。
| 名前 | タイプ | 説明 |
|---|---|---|
| スクリプト | 文字列 | エスケープ文字を追加するスクリプト。 |
| タイプ | 説明 |
|---|---|
| 文字列 | エスケープ文字が追加されたスクリプト。 |
theScript="<script> alert(1)</script>";
var escapedScript=GlideSecurityUtils.escapeScript(theScript);
gs.info(escapedScript);出力:<script> alert(1)</script>
GlideSecurityUtils - isURLWhiteListed(文字列 url)
指定された URL をシステム定義の許可リストに照らして確認します。
| 名前 | タイプ | 説明 |
|---|---|---|
| url | 文字列 | URL 許可リストに照らして確認する URL。 |
| タイプ | 説明 |
|---|---|
| ブーリアン | 指定された URL が許可リストにある場合は true を返します。 |
myURL="http://evil.com/badscript.do";
isWhitelisted=GlideSecurityUtils.isURLWhiteListed(myURL);
gs.info(isWhitelisted);出力:false