Nicht bereinigte HTML überprüfen (Instanzsicherheitshärtung)
Verwenden Sie die Eigenschaft com.glide.security.check_unsanitized_html, um das Bereinigungsverhalten von translated_html-Feldern auf globaler Ebene für Feldzuweisungen zu erzwingen.
HTML ist einer der Typen, die den Wörterbuchfeldern zugewiesen werden können. Durch das Zuweisen von HTML-Feldern an einen beliebigen Feldtyp erhalten Sie die Funktionalität zum Formatieren von Inhalten mithilfe von HTML-Tags (z. B.
<p>, <a href>, <b>, <font>, <img>). Um böswillige Aktivitäten zu verhindern, können bestimmte HTML-Tags mithilfe einer Sperrliste deaktiviert werden. Diese Eigenschaft verhindert, dass unzulässige Tags in „translated_html“-Feldern in Ihrer Instanz verwendet werden. - Legen Sie diese Eigenschaft auf „ erzwingen “ fest, um das Bereinigungsverhalten von translated_html-Feldern zu erzwingen.
- Legen Sie die Eigenschaft auf „ deaktiviert “ fest, um die HTML-Bereinigung zu deaktivieren und blockierte HTML-Tags in „translated_html“-Feldern zuzulassen.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | com.glide.security.check_unsanitized_html |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Verhindert die Verwendung unsicherer HTML-Tags zum Schutz vor Angriffen wie websiteübergreifendem Skripting. |
| Typ | Zeichenfolge |
| Empfohlener Wert | erzwingen |
| Funktionale Auswirkung | (Mittel) Diese Korrektur erzwingt die HTML-Bereinigung auf der Anwenderoberfläche und rendert übersetzte HTML-Felder für den Anwender. Dies kann Auswirkungen auf die Lesbarkeit und Formatierung haben. |
| Sicherheitsrisiko | (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in Anwendersitzungen im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen. |
| Referenzen | HTML-Bereinigung |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.