Excel-Formeln codieren [In Security Center 1.3 aktualisiert]
Verwenden Sie die Eigenschaft glide.export.escape_formulas, um die Excel-Injektion, auch bekannt als Formelinjektion, zu verhindern.
Eine Excel-Einschleusung tritt auf, wenn Websites nicht vertrauenswürdige Einträge in Excel-Dateien einbetten. Wenn Sie eine Tabellenkalkulationsanwendung wie Microsoft Excel oder LibreOffice Call verwenden, um eine Datei zu öffnen, werden alle Zellen, die mit +, -, = oder @ beginnen, als Formel interpretiert. Wenn Sie die Eigenschaft glide.export.escape_formulas auf truefestlegen, wird Zeichenfolgenwerten, die mit +, -, = oder @ beginnen, beim Exportieren in CSV-, XLS- oder XLSX-Dateien ein einzelner Apostroph vorangestellt.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.export.escape_formulas |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Um die Anwendung gegen die Excel- oder Formelinjektion zu verhindern. |
| Empfohlener Wert | wahr |
| Standardwert | falsch |
| Sicherheitsrisikobewertung | 6.5 |
| Funktionale Auswirkung | (Niedrig) Böswillig erstellte Formeln können für einen Hijacking-Angriff auf den Computer des Benutzers verwendet werden, indem Schwachstellen in der Tabellenkalkulationssoftware ausgenutzt werden. |
| Sicherheitsrisiko | (Moderat) Böswillige Formeln stellen auch dann ein Risiko dar, wenn die Einbettungstabelle keine vertraulichen Informationen enthält, da sie dazu verwendet werden können, den Computer des Betrachters zu gefährden. |
| Workaround | Erwägen Sie als Alternative, nach Möglichkeit alle nachfolgenden Leerzeichen zu entfernen und alle vom Client bereitgestellten Daten auf alphanumerische Zeichen zu beschränken. |
| Referenzen | Verfügbare Systemeigenschaften |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.