Impact ワークスペースモジュールの説明フィールドの HTML をサニタイズする
sn_impact_common.blacklist_tags_HTML_injection プロパティを持つ HTML インジェクション攻撃のソースである HTML タグを削除して、説明フィールドの HTML をサニタイズします。
- sn_impact_common_capabilities_mapテーブルとsn_impact_common_par_version_phase_app_mappingテーブルのcustomer_notesフィールド。
- sn_impact_common_manual_capability_descriptionテーブルのmanual_descriptionフィールド。
このシステムプロパティに HTML タグ (スクリプトなど) のカンマ区切りリストが含まれている場合、それらのタグとそのコンテンツは、リストされたフィールドの HTML 部分から削除されます。これらのタグを削除すると、HTML インジェクション攻撃のソースである HTML タグを削除して、説明フィールドの HTML をサニタイズできます。このプロパティがシステムプロパティ [sys_properties] テーブルで設定されていない場合、値はデフォルトで拒否された HTML タグのデフォルトリストになります。プロパティが空の場合、すべての HTML タグが許可されます。
sn_impact_common.blacklist_tags_HTML_injectionを使用して、Impact ワークスペースモジュールの説明フィールドから削除される HTML タグのカンマ区切りリストを指定します。この削除により、HTML インジェクション攻撃を防ぐことができます。少なくとも、このリストにはデフォルトリストの内容が含まれている必要があります。このプロパティがシステムプロパティ [sys_properties] テーブルで設定されていない場合、デフォルトで list script,iframe,object,embed,form,onerror,onload,style,img,video,audio,source,button になります。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | sn_impact_common.blacklist_tags_HTML_injection |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | HTML インジェクション攻撃のソースである HTML タグを削除して、説明フィールドの HTML をサニタイズします。 |
| 推奨値 | 最低限として、script,iframe,object,embed,form,onerror,onload,style,img,video,audio,source,button のデフォルト値 |
| デフォルト値 | スクリプト、iframe、オブジェクト、埋め込み、フォーム、onerror、onload、スタイル、img、ビデオ、オーディオ、ソース、ボタン |
| セキュリティリスク評価 | 4.4 |
| 機能への影響 | HTML タグをデフォルトリストに追加すると、説明フィールドに必要な HTML 機能が制限される可能性があります。正確な影響は、お客様のインスタンスによって異なります。 |
| セキュリティリスク | (中) |
| 参照 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。