Permitir código HTML incorporado (proteção de segurança da instância)
Use a propriedade glide.ui.security.allow_codetag para desabilitar o suporte para incorporação de código HTML criado usando o marcador [code].
A Now Platform atenua muitos ataques de injeção e entre sites implementando técnicas de escape e codificação. Como resultado, os usuários não podem escrever/enviar entradas no formato HTML para campos de diário. Mas os campos de diário podem renderizar texto entre tags de código como HTML.
- No entanto, há um risco de segurança associado. Se definido como verdadeiro, usuários mal-intencionados podem gravar código HTML JS prejudicial que pode ser executado em um navegador do cliente diferente após a renderização de campos de diário.
- Defina esta propriedade como falsa para que os administradores possam impedir que os campos de diário renderizem o código HTML, desabilitando o suporte para o marcador
[code].
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.ui.security.allow_codetag |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Configurar na Central de segurança da instância | Sim |
| Finalidade | Proteger contra scripts entre sites e execução de scripts mal-intencionados |
| Valor recomendado | falso |
| Impacto funcional | (Médio) Esta correção impõe a codificação HTML na IU e renderiza os resultados codificados para o usuário. Esta propriedade é definida como verdadeira por padrão. Nesse estado, sua instância exibe HTML renderizado em formulários e campos de diário. Se esta propriedade estiver definida como falsa, o HTML não será renderizado corretamente e as tags HTML poderão aparecer nos campos de diário em formulários. Ela pode ter um impacto adverso na funcionalidade e nas interações do usuário com os dados resultantes. |
| Risco à segurança | (Médio) A validação de entrada deve ocorrer na aplicação para defesa contra ataques de script entre sites. Esses ataques permitem que scripts externos sejam executados na sessão de um usuário no contexto do navegador logado. Os invasores podem usá-los para roubar informações da sessão e dados confidenciais. |
| Referências | Restringir o marcador CODE nos campos de diário |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.