GlideSystemUserSession 스크립팅 가능한 API에 대한 접근 제한 [보안 센터 1.3 및 2.0에서 업데이트됨]
클라이언트 호출 가능 GlideSystemUserSessionSandbox 스크립트 가능 API는 GlideSystemUserSession의 addErrorMessageNoSanitization 및 addInfoMessageNoSanitization 메서드를 JavaScript 샌드박스에 노출합니다. 이렇게 하면 모든 사용자가 스크립트를 통해 이 메서드를 호출할 수 있습니다.
gs.addErrorMessageNoSanitizationMessaging() 및 gs.addInfoMessageNoSanitization() 은 스크립팅 환경 내에서 로깅 및 알림에 사용됩니다. 이 속성이 권장 값인 false로 설정되지 않은 경우 샌드박스에서 이 두 가지를 모두 사용할 수 있습니다. 샌드박스는 인증되지 않은 역할 사용자가 사용할 수 있는 권한이 낮은 스크립팅 환경입니다. 이 두 가지 방법 모두 사용자에게 삭제되지 않은 입력을 표시하는 데 사용할 수 있습니다. 삭제되지 않은 입력에 사용자의 브라우저에서 실행되는 위험한 코드가 포함될 수 있으므로 사용자에게 삭제되지 않은 입력을 표시하는 것은 위험합니다. 이는 기존의 반사된 XSS 공격에 활용될 수 있습니다. 반영된 XSS 공격은 세션 하이재킹을 비롯한 여러 시나리오에서 사용될 수 있습니다.
시스템 속성을 false로 설정합니다glide.sandbox.usersession.allow_unsanitized_messages. 시스템 속성 [sys_properties] 테이블에 이 속성에 대한 기록이 없으면 기록을 하나 만듭니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.sandbox.usersession.allow_unsanitized_messages |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 접근 통제 |
| 목적 | 이 속성은 샌드박스 사용자 세션에서 삭제되지 않은 정보 또는 오류 메시지가 호출되지 않도록 제한합니다. |
| 유형 | 부울 |
| 권장 값 | 아니오 |
| 기본값 | 예 |
| 보안 위험 등급 | 8.1 |
| 기능적 영향 | false 값으로 속성을 설정하면 해당 함수가 호출되어도 메시지가 생성되거나 로깅되지 않습니다. |
| 보안 위험 | (높음) 적절한 정리가 없으면 잠재적으로 위험한 콘텐츠에 액세스할 수 있으며 삭제되지 않은 오류 함수를 스크립트에 사용할 수 있습니다. |
| 참조 | 접근 통제 |