이스케이프 JavaScript
glide.html.escape_script 이 속성을 사용하여 목록 뷰 중 HTML 필드의 JavaScript(<script></script>) 태그에서 강제로 이스케이프합니다.
HTML은 딕셔너리 필드에 할당할 수 있는 유형 중 하나입니다. 필드 유형에 HTML 필드를 할당하면 HTML 코드(예: <p>, <a href>, <b>, <font>, <img>)를 사용하여 내용의 서식을 지정할 수 있습니다. false로 설정하면 glide.html.escape_script 테이블 또는 레코드 목록을 보는 동안 목록 보기에서 해당 열을 선택할 때 (<script></script>) 태그가 나타날 수 있습니다.
악의적인 공격자는 JavaScript 코드를 (<script></script>) 태그 내에 삽입하여 삽입할 수 있습니다. 공격자는 사용자가 테이블 레코드를 열 때 실행될 수 있는 정교한 JS 벡터를 삽입하여 이점을 얻을 수 있습니다.
경고:
이는 세이프 하버 속성이므로 변경된 후에는 값을 변경할 수 없습니다. 되돌릴 수 없습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.html.escape_script |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 확인, 위생 및 인코딩 |
| 목적 | 애플리케이션에 대한 교차 사이트 스크립팅 공격을 방지합니다. |
| 권장 값 | 예 |
| 기본값 | 예 |
| 보안 위험 등급 | 8.8 |
| 기능적 영향 | (중간) 이 정정은 JavaScript 이스케이프가 UI에서 발생하도록 적용하고 인코딩된 결과를 사용자에게 렌더링합니다. 이는 결과 데이터와 인스턴스 사용자 상호작용에 따라 기능에 영향을 줄 수 있습니다 |
| 보안 위험 | (높음) 교차 사이트 스크립팅 공격을 방어하기 위해 애플리케이션에서 입력 유효성 검사를 수행해야 합니다. 이러한 공격을 통해 외부 스크립트는 로그인된 브라우저의 컨텍스트에서 사용자 세션에서 실행될 수 있습니다. 공격자는 이를 사용하여 세션 정보와 중요한 데이터를 훔칠 수 있습니다. |
| 참조 |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 을 참조하십시오 Add a system property.