Escape do JavaScript (proteção de segurança da instância)
Use a propriedade glide.html.escape_script para forçar o escape de marcadores JavaScript (<script></script>) em campos HTML nas exibições de lista.
HTML é um dos tipos que podem ser atribuídos aos campos de dicionário. A atribuição de campos HTML a qualquer tipo de campo fornece a funcionalidade para formatar conteúdo usando códigos HTML (por exemplo, <p>, <a href>, <b>, <font>, <img>). Se você definir glide.html.escape_script como falsa, os marcadores (<script></script>) podem surgir quando você selecionar essa coluna em uma exibição de lista ao exibir uma tabela ou lista de registros.
Um invasor mal-intencionado pode inserir código JavaScript incorporando-o nos marcadores (<script></script>). O invasor pode se aproveitar ao injetar um vetor JS sofisticado que pode ser executado quando qualquer usuário abrir o registro da tabela.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.html.escape_script |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Configurar em Instance Security Center | Sim |
| Finalidade | Prevenir ataques de script entre sites contra uma aplicação. |
| Valor recomendado | verdadeiro |
| Impacto funcional | (Médio) Esta correção impõe o escape de JavaScript na IU e renderiza os resultados codificados para o usuário. Ela pode ter um impacto na funcionalidade com base na interação do usuário da instância com os dados resultantes. |
| Risco à segurança | (Alto) A validação de entrada deve ocorrer na aplicação para defesa contra ataques de script entre sites. Esses ataques permitem que scripts externos sejam executados na sessão do usuário no contexto do navegador logado. Os invasores podem usá-los para roubar informações da sessão e dados confidenciais. |
| Referências |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.