Permitir marcadores JavaScript em HTML incorporado (proteção de segurança da instância)
A propriedade glide.ui.security.codetag.allow_script desabilita o suporte para incorporação de código JavaScript no HTML criado usando o marcador [code].
Nota:
Essa propriedade é definida como true por padrão em Vancouver e versões posteriores, e não pode ser alterada pelos administradores. Para um caso de uso em que a propriedade precise ser alterada, entre em contato com o suporte ao cliente.
A Now Platform atenua muitos ataques de injeção e entre sites implementando técnicas de escape e codificação. Como resultado, os usuários não podem escrever e enviar entradas no formato HTML para campos de diário. No entanto, os campos de diário podem renderizar texto entre marcadores de código como HTML.
- No entanto, há um risco de segurança associado. Se definida como verdadeira, usuários mal-intencionados podem gravar código HTML JavaScript prejudicial que pode ser executado em um navegador do cliente diferente após a renderização de campos de diário.
- Defina esta propriedade como falsa para que os administradores possam impedir que os campos de diário renderizem o código HTML JavaScript, desabilitando o suporte para o marcador
[code].
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.ui.security.codetag.allow_script |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Configurar em Instance Security Center | Sim |
| Finalidade | Protege contra scripts entre sites e execução de scripts mal-intencionados |
| Valor recomendado | falso |
| Impacto funcional | (Médio) Esta correção impõe o escape de JavaScript na IU e renderiza os resultados codificados para o usuário. Ela pode ter um impacto na funcionalidade com base na interação do usuário da instância com os dados resultantes. |
| Risco à segurança | (Alto) A validação de entrada deve ocorrer na aplicação para defesa contra ataques de script entre sites. Esses ataques permitem que scripts externos sejam executados na sessão do usuário no contexto do navegador logado. Os invasores podem usá-los para roubar informações da sessão e dados confidenciais. |
| Referências | Restringir o marcador CODE nos campos de diários |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.