Autoriser les balises JavaScript dans le HTML intégré (renforcement de la sécurité de l’instance)
La glide.ui.security.codetag.allow_script propriété désactive la prise en charge de l’incorporation du code JavaScript HTML créé à l’aide de la balise [code].
Remarque :
Cette propriété est définie sur true par défaut dans Vancouver la version et les versions ultérieures, et ne peut pas être modifiée par les administrateurs. Pour un cas d’utilisation où la propriété doit être modifiée, contactez l’assistance client.
Il Now Platform atténue de nombreuses attaques par injection et cross-site en mettant en œuvre des techniques d’échappement et d’encodage. Par conséquent, les utilisateurs ne peuvent pas écrire et soumettre des entrées au format HTML pour les champs de journal. Toutefois, les champs journal peuvent restituer le texte compris entre des balises de code au format HTML.
- Cependant, il existe un risque de sécurité associé. Si la valeur est définie sur vrai, les utilisateurs malveillants peuvent écrire du code JavaScript HTML nuisible qui peut être exécuté sur un autre navigateur client après le rendu des champs de journal.
- Définissez cette propriété sur false afin que les administrateurs puissent empêcher les champs journal de rendre le code JavaScript HTML en désactivant la prise en charge de la balise
[code].
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.ui.security.codetag.allow_script |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Configurer dans le centre de sécurité de l’instance | Oui |
| Objectif | Protège contre le script intersite et l’exécution de scripts malveillants |
| Valeur recommandée | faux |
| Impact fonctionnel | (Moyen) Cette correction applique l’échappement JavaScript sur l’interface utilisateur et renvoie les résultats codés à l’utilisateur. Elle peut avoir un impact sur les fonctionnalités en fonction de l’interaction de l’utilisateur de l’instance avec les données résultantes. |
| Risque de sécurité | (Élevé) La validation de l’entrée doit avoir lieu dans l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur la session de l’utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles. |
| Références | Restreindre la balise CODE dans les champs journal |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.