Habilitar a verificação de ACL de AJAXGlideRecord (proteção de segurança da instância)

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Use a propriedade glide.script.secure.ajaxgliderecord para executar a validação da regra de controle de acesso (ACL) quando registros do lado do servidor, como tabelas, forem acessados usando APIs GlideAjax em um script do cliente.

    Em client scripts, é possível consultar dados arbitrários do servidor usando o AJAXGlideRecord (GlideAjax - Cliente), usando uma sintaxe como um registro de glide do lado do servidor. É uma ferramenta poderosa e útil em muitas implantações.

    Se você optar por aplicar ACLs (Access Control Lists, listas de controle de acesso) às chamadas de API GlideAjax, só será possível consultar os dados aos quais o usuário conectado no momento tem acesso. Por exemplo, se um usuário ESS que não tem direitos para ler a tabela cmn_location estiver conectado, qualquer chamada de API GlideAjax para essa tabela falhará.

    Se o Now Platform estiver sendo executado sem a verificação de chamada da ACL GlideAjax, uma API poderá retornar informações que o usuário conectado no momento não poderia acessar.

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.script.secure.ajaxgliderecord
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Configurar na Central de segurança da instância Sim
    Finalidade Garantir que as ACLs de segurança sejam verificadas e validadas mesmo quando os registros forem acessados por meio de APIs do lado do cliente.
    Valor recomendado verdadeiro
    Impacto funcional (Alto) Esta correção impõe o relacionamento da ACL com registros do lado do servidor quando as solicitações são feitas usando as chamadas de API AJAXGlideRecord. Se a configuração da ACL não estiver configurada corretamente, há um possível impacto. Para obter mais detalhes sobre seu impacto e como identificá-lo, consulte o artigo Auditar e revisar transações GlideRecord do lado do cliente (AJAXGlideRecord) [KB0550828] em HI Base de conhecimento .
    Risco à segurança (Alto) Por meio de scripts do cliente, é possível consultar dados arbitrários do servidor por meio da API GlideAjax. Os recursos do lado do servidor podem ser acessados sem a autorização apropriada, portanto, o uso da validação de ACL ajuda a aplicação a validar a solicitação com base na autorização configurada.
    Solução alternativa

    Certifique-se de que as ACLs apropriadas sejam criadas para inclusões de script, processadores e outras entidades usadas por uma API GlideAjax (AJAXGlideRecord) para que elas sejam executadas com a devida autorização.

    Implemente métodos como canRead (), canWrite(), canCreate () e canDelete () para executar a autorização do usuário antes de acessar registros de tabela usando GlideRecord.

    Outro método é usar o GlideRecordSecure. A classe é herdada do servidor GlideRecord que executa as mesmas funções do GlideRecord e também impõe ACLs.
    Referências Aplicar ACLs ao AJAXGlideRecord (registro Glide do lado do cliente)
    Esta propriedade pertence à mesma família de propriedades que protegem e restringem a execução de scripts originados no cliente:

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.