JavaScript-Tags in eingebettetem HTML zulassen (Härtung der Instanzsicherheit)
Die Eigenschaft glide.ui.security.codetag.allow_script deaktiviert die Unterstützung für die Einbettung von HTML-JavaScript-Code, der mit dem Tag [code] erstellt wurde.
Hinweis:
Diese Eigenschaft ist in Vancouver und späteren Releases standardmäßig auf „ false “ festgelegt und kann von Administratoren nicht geändert werden. Wenn Sie einen Anwendungsfall haben, bei dem die Eigenschaft geändert werden muss, wenden Sie sich an den Kundensupport.
Now Platform entschärft viele Einschleusungs- und websiteübergreifende Angriffe durch die Implementierung von Escaping- und Codierungstechniken. Daher können Anwender keine HTML-formatierten Eingaben für Journalfelder schreiben und übermitteln. Journalfelder können jedoch Text, der in Code-Tags eingeschlossen ist, als HTML rendern.
- Es ist jedoch ein Sicherheitsrisiko verbunden. Bei Festlegung auf wahrkönnen böswillige Anwender schädlichen HTML-JavaScript-Code schreiben, der nach dem Rendern von Journalfeldern in einem anderen Client-Browser ausgeführt werden kann.
- Legen Sie diese Eigenschaft auf „ falsch “ fest, damit Administratoren verhindern können, dass Journalfelder HTML-JavaScript-Code rendern, indem sie die Unterstützung für das
[code]-Tag deaktivieren.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.security.codetag.allow_script |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Schützt vor websiteübergreifendem Skripting und der Ausführung böswilliger Skripts |
| Empfohlener Wert | falsch |
| Standardwert | falsch |
| Funktionale Auswirkung | (Mittel) Diese Korrektur erzwingt JavaScript-Escaping auf der Anwenderoberfläche und rendert die codierten Ergebnisse für den Anwender. Sie kann basierend auf der Interaktion des Instanzanwenders mit den resultierenden Daten Auswirkungen auf die Funktionalität haben. |
| Sicherheitsrisiko | (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in der Anwendersitzung im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen. |
| Referenzen | Beschränken Sie das CODE-Tag in Journalfeldern Journalfeldeinträge als HTML rendern |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.