仮想エージェント内で HTML サニタイザーを有効にする (セキュリティセンター 1.3 および 1.5 で更新)
com.glide.cs.html.sanitizer.enabled プロパティを使用して HTML SanitizerService を有効にします。
このプロパティは、HtmlSanitizerService が有効かどうかを制御します。com.glide.cs.html.sanitizer.enabled が true に設定されていない場合、VA Web クライアントで保存されたクロスサイトスクリプティング (XSS) 攻撃が発生する可能性があります。
詳細情報
警告:
これはセーフハーバープロパティです。つまり、いったん変更したら変えることはできません。元に戻すことはできません。
| 属性 | 説明 |
|---|---|
| プロパティ名 | com.glide.cs.html.sanitizer.enabled |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | アプリケーションでクロスサイトスクリプティング攻撃および HTML インジェクション攻撃を防ぐこと。 |
| 推奨値 | true |
| デフォルト値 | true |
| セキュリティリスク評価 | 8 |
| 機能への影響度 | この修正では、ユーザーデータがユーザーにレンダリングされる前に、HTML 出力エンコードメカニズムが適用されます。顧客が HTML 属性またはコンテンツデータのレンダリングを伴うカスタマイズを行っている場合は、機能に影響があります。 |
| セキュリティリスク | (高) データがアプリケーションに格納および処理されるときに、ユーザー入力を安全に処理する必要があります。これにより、データの出力エンコードによるクライアント側のクロスサイトスクリプティング攻撃が低減されます。 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。