埋め込み HTML コードを無効化する (セキュリティセンター 1.3 で更新)
glide.ui.security.allow_codetag プロパティを使用して、[code] タグを使用して作成された HTML コードの埋め込みサポートを無効にします。
[code] タグを使用して埋め込まれた HTML コードの表示のサポートを無効にします。このタグを使用すると、レンダリングされた HTML をジャーナルフィールドに表示でき、クロスサイトスクリプティング (XSS) 攻撃につながる可能性があります。これらの攻撃により、ログインしているブラウザーのコンテキストで、ユーザーセッションで外部スクリプトが実行される可能性があります。攻撃者はこれらのスクリプトを使用してセッション情報と機密データを盗むことができます。HTML 言語は、スクリプトを書式設定から分離するように設計されていないため、どのシステムでもユーザー制御の HTML を許可することには固有のリスクがあります。
glide.ui.security.codetag.allow_scriptを false に設定すると準拠し、このリスクが大幅に軽減されますが、いくつかの小さなリスクが残ります。コードタグのスクリプト部分のみを無効にし、HTML の既知のスクリプトのすべての規則をサニタイズすることに依存します。
glide.ui.security.allow_codetag システムプロパティを false に設定すると、ジャーナルフィールドとフォームにレンダリングされた HTML が表示されなくなります。
- ただし、関連するセキュリティリスクがあります。true に設定すると、悪意のあるユーザーは、ジャーナルフィールドをレンダリングした後に、別のクライアントブラウザーで実行できる有害な HTML JS コードを書き込むことができます。
- このプロパティを false に設定すると、
[code]タグのサポートを無効にすることで、ジャーナルフィールドで HTML コードがレンダリングされないようにすることができます。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.ui.security.allow_codetag |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| インスタンスセキュリティセンターでの構成 | あり |
| 目的 | クロスサイトスクリプティングと悪意のあるスクリプトの実行からの保護 |
| 推奨値 | false |
| デフォルト値 | true |
| セキュリティリスク評価 | 4.2 |
| 機能への影響 | この修正では、UI で強制的に HTML エンコードが行われ、エンコードされた結果がユーザーに対してレンダリングされます。 このプロパティはデフォルトで [true] に設定されています。このステータスでは、インスタンスはジャーナルフィールドとフォームにレンダリングされた HTML を表示します。 このプロパティを falseに設定すると、HTML が正しくレンダリングされず、フォームのジャーナルフィールドに HTML タグが表示される場合があります。これは、機能に悪影響を及ぼし、結果のデータを用いたユーザーインタラクションに悪影響を与える可能性があります。 |
| セキュリティリスク | (中) クロスサイトスクリプティング攻撃から防御するために、アプリケーションで入力検証を行う必要があります。これらの攻撃により、ログインしているブラウザーのコンテキストで、ユーザーセッションで外部スクリプトが実行される可能性があります。攻撃者はこれを使用してセッション情報と機密データを盗むことができます。 |