Escape de JavaScript [Atualizado na Central de segurança 1.3]
Use a propriedade glide.html.escape_script para forçar o escape de marcadores JavaScript (<script></script>) em campos HTML nas exibições de lista.
A propriedade do Glide glide.html.escape_script ajuda a limpar os campos HTML. Se glide.html.escape_script não estiver definida com o valor True recomendado, as entradas não serão limpas para os campos HTML (codificação de saída) com base em um contexto Java de back-end por meio da remoção do JavaScript incorporado. A presença de JavaScript em campos HTML pode levar a XSS armazenado e refletido. A possibilidade de XSS pode levar à escalada de privilégios facilmente obtida por funções mais elevadas, como administrador, que possibilita mais movimentação lateral.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.html.escape_script |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Prevenir ataques de script entre sites contra uma aplicação. |
| Valor recomendado | verdadeiro |
| Valor-padrão | verdadeiro |
| Classificação de risco de segurança | 8,8 |
| Impacto funcional | Esta correção impõe o escape de JavaScript na IU e renderiza os resultados codificados para o usuário. Ela pode ter um impacto na funcionalidade com base na interação do usuário da instância com os dados resultantes. |
| Risco à segurança | (Alto) A validação de entrada deve ocorrer na aplicação para defesa contra ataques de script entre sites. Esses ataques permitem que scripts externos sejam executados na sessão do usuário no contexto do navegador logado. Os invasores podem usá-los para roubar informações da sessão e dados confidenciais. |
| Referências |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.