サニタイズされていない HTML の確認 (インスタンスセキュリティ強化)
com.glide.security.check_unsanitized_html プロパティを使用して、フィールドアサインのためにグローバルレベルで translated_html フィールドのサニタイズ動作を適用します。
HTML は、辞書フィールドに割り当てることができるタイプの一種です。HTML フィールドを任意のフィールドタイプに割り当てると、HTML タグ (
<p>、<a href>、<b>、<font>、<img> など) を使用してコンテンツをフォーマットできるようになります。悪意のあるアクティビティを防ぐために、ブロックリストを使用して特定の HTML タグを禁止することができます。このプロパティは、インスタンスの translated_html フィールドで禁止タグが使用されないようにします。 - このプロパティを enforce に設定すると、translated_html フィールドのサニタイズ動作が適用されます。
- プロパティを disable に設定すると、html のサニタイズがオフになり、translated_html フィールドでブロックされた html タグが許可されます。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | com.glide.security.check_unsanitized_html |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| インスタンスセキュリティセンターでの構成 | あり |
| 目的 | クロスサイトスクリプティングなどの攻撃から保護するために、安全でない HTML タグの使用を防止すること |
| タイプ | 文字列 |
| 推奨値 | enforce |
| 機能への影響度 | (中) この修正では、UI で強制的に HTML サニタイズが行われ、翻訳された html フィールドがユーザーに対してレンダリングされます。読みやすさと書式設定に影響を与える可能性があります。 |
| セキュリティリスク | (高) クロスサイトスクリプティング攻撃から防御するために、アプリケーションで入力検証を行う必要があります。これらの攻撃により、ログインしているブラウザーのコンテキストで、ユーザーセッションで外部スクリプトが実行される可能性があります。攻撃者はこれを使用してセッション情報と機密データを盗むことができます。 |
| 参照 | HTML サニタイザー |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。