Jelly JS 보간 보호 사용

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기1분

    • glide.ui.jelly.js_interpolation.protect 속성을 사용하여 Jelly 페이지에서 실행될 JavaScript가 Jelly 보간을 통해 삽입으로부터 보호되도록 합니다.

    속성을 true로 설정하면 애플리케이션이 Jelly 스크립트 트리(중첩됨)를 통과합니다. 잠재적으로 위험한 Jelly 표현식을 다음과 같은 필터로 래핑합니다.
    • 안전을 위해 결과를 이스케이프하거나
    • 안전을 보장할 수 없는 경우 평가될 식이 가능한 보안 문제를 나타내므로 SecurityException을 생성합니다.
    경고:
    이는 세이프 하버 속성이므로 한 번 변경하면 값을 변경할 수 없습니다. 되돌릴 수 없습니다.

    추가 정보

    속성 설명
    속성 이름 glide.ui.jelly.js_interpolation.protect
    구성 유형 시스템 속성(/sys_properties_list.do)
    범주 확인, 삭제 및 인코딩
    목적 Jelly 주입을 사용하여 발생할 수 있는 악성 코드 실행 공격을 완화합니다.
    권장 값
    기본값 거짓
    보안 위험 등급 9
    기능적 영향 이 속성은 표현식이 따옴표로 묶였는지 여부를 가장 잘 추측합니다. 정당한 표현을 잘못 인용할 수 있습니다. 이 경우 표현식을 안전한 것으로 수동으로 표시해야 할 수 있습니다.
    보안 위험 (보통) JEXL 삽입은 사이트 간 요청 위조 및 코드 실행으로 이어질 수 있는 고유한 Now Platform 입력 주입의 한 형태입니다. 보호 기능을 완전히 해제하면 많은 P1 보안 취약점이 발생할 수 있습니다.
    임시 해결책

    표현식을 수동으로 안전한 것으로 표시하려면 Jelly 표현식에 SAFE 접두사를 추가합니다.

    ${SAFE:sysparm_input};

    각 식에 SAFE를 맹목적으로 추가하는 것은 보안 취약점을 열 수 있으므로 문제에 접근하는 잘못된 방법입니다.
    • 식에 클라이언트의 입력이 포함되지 않도록 보장할 수 있는 경우에만 식에 SAFE를 추가합니다.
    • 이 경우 악의적인 클라이언트가 권한 있는 JavaScript를 평가할 수 있습니다.
    참조 Jelly 태그

    높은 보안 설정

    시스템 속성 추가 또는 생성에 대한 자세한 내용은 문서를 참조하십시오 Add a system property.