GlideSystemUserSession スクリプト作成可能 API へのアクセスを制限する (セキュリティセンター 1.3 および 2.0 で更新)
クライアント呼び出し可能な GlideSystemUserSessionSandbox スクリプト可能 API は、GlideSystemUserSession の addErrorMessageNoSainitization メソッドと addInfoMessageNoSainitization メソッドを JavaScript サンドボックスに公開しています。これにより、すべてのユーザーがスクリプトを介してこのメソッドをコールできます。
gs.addErrorMessageNoSanitizationMessaging() と gs.addInfoMessageNoSanitization() は、スクリプト環境内でログ記録と通知に使用されます。どちらも、このプロパティが推奨値の false に設定されていない場合にサンドボックスで使用できます。サンドボックスは、非認証ユーザーでロールのないユーザーが利用できる、権限の低いスクリプト環境です。これらのメソッドはどちらも、サニタイズされていない入力をユーザーに表示するために使用できます。サニタイズされていない入力には、ユーザーのブラウザで実行される危険なコードが含まれている可能性があるため、サニタイズされていない入力をユーザーに表示することは危険です。これは、従来の反射型XSS攻撃に利用される可能性があります。反射型 XSS 攻撃は、セッションハイジャックを含む複数のシナリオで使用される可能性があります。
glide.sandbox.usersession.allow_unsanitized_messagesシステムプロパティを false に設定します。システムプロパティ [sys_properties] テーブルにこのプロパティのレコードがない場合は、作成します。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.sandbox.usersession.allow_unsanitized_messages |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | アクセス制御 |
| 目的 | このプロパティにより、サンドボックス化されたユーザーセッションでの、サニタイズされていない情報メッセージまたはエラーメッセージのコールが制限されます。 |
| タイプ | ブール |
| 推奨値 | false |
| デフォルト値 | true |
| セキュリティリスク評価 | 8.1 |
| 機能への影響 | プロパティを値 false に設定すると、これらの関数が呼び出された場合にメッセージが作成されず、ログも記録されません。 |
| セキュリティリスク | (高) 適切にサニタイズされないと、危険性のあるコンテンツにアクセスする可能性があり、サニタイズされていないエラー関数がスクリプトで使用可能になります。 |
| 参照 | アクセス制御 |