XML d’échappement (renforcement de la sécurité de l’instance)

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • La glide.ui.escape_text propriété force l’échappement des valeurs XML au niveau de l’analyseur avant de les transmettre au navigateur du client.

    Remarque :
    Cette propriété est définie sur true par défaut dans Vancouver la version et les versions ultérieures, et ne peut pas être modifiée par les administrateurs. Pour un cas d’utilisation où la propriété doit être modifiée, contactez l’assistance client.
    Le cross-site scripting se produit lorsqu’un attaquant injecte du code JavaScript malveillant dans un point d’entrée. La plateforme/l’application ne parvient pas à échapper au JavaScript malveillant avant de le transmettre au navigateur de la victime pour exécution. Dans ce contexte, échapper signifie ce qui suit :
    • & --> &
    • < --> <
    • > --> >
    • « --> »
    • ' --> '
    • / --> /

    Exemple : <![CDATA[<script>alert('Attaque XSS') ;]] >

    Échappement : &lt;script>alert('XSS Attack') ; &lt;/script>

    En savoir plus

    Attribut Description
    Nom de la propriété glide.ui.escape_text
    Type de configuration Propriétés système (/sys_properties_list.do)
    Configurer dans le centre de sécurité de l’instance Oui
    Objectif L’échappement XML empêche les navigateurs d’analyser le code JavaScript malveillant incorporé dans des données non approuvées et de l’exécuter en tant que JavaScript.
    • Un utilisateur malveillant peut tenter une attaque XSS pour détourner la session d’autres utilisateurs ou rediriger l’utilisateur vers un site Web malveillant.
    • Le contient du code pour sécuriser les Now Platform cookies, mais pour l’échapper, cette propriété doit être définie sur true.
    Valeur recommandée VRAI
    Impact fonctionnel (Moyen) Cette correction applique le codage XML au niveau de l’analyseur XML sur l’interface utilisateur. Il restitue les résultats codés pour l’utilisateur, ce qui peut avoir un impact sur la fonctionnalité en fonction de l’interaction de l’utilisateur de l’instance avec les données résultantes.
    Risque de sécurité (Élevé) La validation de l’entrée doit avoir lieu sur l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur la session de l’utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles.
    Solution de contournement

    Une fois que vous avez défini cette propriété sur vrai, le rendu s’arrête sur les balises HTML dans la description de l’élément de catalogue ou dans le texte d’aide de la variable d’élément de catalogue. Il se peut que vous ne puissiez pas utiliser le formatage HTML pour certains champs.

    Toutefois, si la glide.ui.escape_text propriété est désactivée, toutes les expressions JEXL sont préfixées d’un encodeur de sortie :

    ${JS :expression}

    ${HTML :expression}

    ou

    ${JS,HTML :expression}
    Références

    Paramètres de sécurité élevée

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.