내장된 HTML 코드 사용 안 함[Security Center 1.3에서 업데이트됨]
이 glide.ui.security.allow_codetag 속성을 사용하여 [code] 태그를 사용하여 만든 HTML 코드를 포함하기 위한 지원을 비활성화합니다.
[code] 태그를 사용하여 포함된 HTML 코드 표시 지원을 비활성화합니다. 이 태그를 사용하면 렌더링된 HTML을 저널 필드에 표시할 수 있으며 XSS(교차 사이트 스크립팅) 공격으로 이어질 수 있습니다. 이러한 공격을 통해 외부 스크립트가 로그인된 브라우저의 컨텍스트에서 사용자 세션에서 실행될 수 있습니다. 공격자는 이러한 스크립트를 사용하여 세션 정보와 중요한 데이터를 훔칠 수 있습니다. HTML 언어는 서식에서 스크립트를 분리하도록 설계되지 않았으므로 모든 시스템에서 사용자 제어 HTML을 허용하면 고유한 위험이 있습니다.
glide.ui.security.codetag.allow_scriptfalse로 설정하면 규정을 준수하며 이 위험이 크게 줄어들지만 약간의 위험이 남아 있습니다. 코드 태그의 스크립트 부분만 비활성화하고 HTML에서 알려진 모든 스크립트 규칙을 정리합니다.
저널 필드와 양식이 렌더링된 HTML을 표시하지 못하도록 하려면 glide.ui.security.allow_codetag 시스템 속성을 false 로 설정합니다.
- 그러나 이와 관련된 보안 위험이 있습니다. true로 설정하면 악의적인 사용자가 저널 필드를 렌더링한 후 다른 클라이언트 브라우저에서 실행될 수 있는 유해한 HTML JS 코드를 작성할 수 있습니다.
- 관리자가
[code]태그에 대한 지원을 사용하지 않도록 설정하여 저널 필드에서 HTML 코드를 렌더링하지 못하도록 하려면 이 속성을 false로 설정합니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.ui.security.allow_codetag |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 확인, 삭제 및 인코딩 |
| 인스턴스 보안 센터에서 구성 | 예 |
| 목적 | 사이트 간 스크립팅 및 악의적인 스크립트 실행으로부터 보호 |
| 권장 값 | 거짓 |
| 기본값 | 예 |
| 보안 위험 등급 | 4.2 |
| 기능적 영향 | 이렇게 정정하면 UI에서 HTML 인코딩이 수행되고 인코딩된 결과를 사용자에게 렌더링합니다. 이 속성은 기본적으로 true 로 설정됩니다. 이 상태에서 인스턴스는 저널 필드와 양식에 렌더링된 HTML을 표시합니다. 이 속성을 false로 설정하면 HTML이 제대로 렌더링되지 않고 HTML 태그가 양식의 저널 필드에 나타날 수 있습니다. 기능 및 결과 데이터와의 사용자 상호 작용에 부정적인 영향을 미칠 수 있습니다. |
| 보안 위험 | (중간) 교차 사이트 스크립팅 공격을 방어하기 위해 애플리케이션에서 입력 유효성 검사가 수행되어야 합니다. 이러한 공격을 통해 외부 스크립트가 로그인된 브라우저의 컨텍스트에서 사용자 세션에서 실행될 수 있습니다. 공격자는 이를 사용하여 세션 정보와 중요한 데이터를 훔칠 수 있습니다. |