Escape de HTML (proteção de segurança da instância)
Use a propriedade glide.ui.escape_html_list_field para forçar escapes de HTML para campos HTML em uma exibição de lista.
HTML é um dos tipos que podem ser atribuídos aos campos de dicionário. A atribuição de campos HTML a qualquer tipo de campo fornece a funcionalidade para formatar conteúdo usando códigos HTML (por exemplo,
<p>, <a href>, <b>, <font>, <img>). Um usuário mal-intencionado pode injetar código HTML no campo de formulário para executar scripts indesejados em diferentes sessões de cliente/usuário. - Defina esta propriedade como verdadeira para executar um escape de HTML antes que os registros/campos sejam renderizados no navegador quando a tabela aparecer como uma exibição de lista.
- Se estiver definida como falsa e você selecionar essa coluna em uma exibição de lista ao exibir uma tabela ou lista de registros, esses campos em formato HTML poderão ser exibidos.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.ui.escape_html_list_field |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Configurar na Central de segurança da instância | Sim |
| Finalidade | Prevenir ataques de script entre sites à aplicação. |
| Valor recomendado | verdadeiro |
| Impacto funcional | (Médio) Esta correção impõe a codificação de HTML na IU no nível de analisador HTML e, então, renderiza os resultados codificados para o usuário. Ela pode ter um impacto na funcionalidade com base na interação do usuário da instância com os dados resultantes. |
| Risco à segurança | (Alto) A validação de entrada deve ocorrer na aplicação para defesa contra ataques de script entre sites. Esses ataques permitem que scripts externos sejam executados nas sessões do usuário no contexto do navegador conectado. Os invasores podem usá-los para roubar informações da sessão e dados confidenciais. |
| Referências |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.