Como desabilitar o código HTML integrado [Atualizado na Central de segurança 1.3]

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Use a propriedade glide.ui.security.allow_codetag para desabilitar o suporte para incorporação de código HTML criado usando o marcador [code].

    A Now Platform atenua muitos ataques de injeção e entre sites implementando técnicas de escape e codificação. Como resultado, os usuários não podem escrever/enviar entradas no formato HTML para campos de diário. Mas os campos de diário podem renderizar texto entre tags de código como HTML.
    • No entanto, há um risco de segurança associado. Se definido como verdadeiro, usuários mal-intencionados podem gravar código HTML JS prejudicial que pode ser executado em um navegador do cliente diferente após a renderização de campos de diário.
    • Defina esta propriedade como falsa para que os administradores possam impedir que os campos de diário renderizem o código HTML, desabilitando o suporte para o marcador [code].

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.ui.security.allow_codetag
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Categoria Validação, limpeza e codificação
    Configurar na Central de segurança da instância Sim
    Finalidade Proteger contra scripts entre sites e execução de scripts mal-intencionados
    Valor recomendado falso
    Valor padrão verdadeiro
    Classificação de risco de segurança 4,2
    Impacto funcional (Médio) Esta correção impõe a codificação HTML na IU e renderiza os resultados codificados para o usuário.

    Esta propriedade é definida como verdadeira por padrão. Nesse estado, sua instância exibe HTML renderizado em formulários e campos de diário.

    Se esta propriedade estiver definida como falsa, o HTML não será renderizado corretamente e as tags HTML poderão aparecer nos campos de diário em formulários. Ela pode ter um impacto adverso na funcionalidade e nas interações do usuário com os dados resultantes.
    Risco à segurança (Médio) A validação de entrada deve ocorrer na aplicação para defesa contra ataques de script entre sites. Esses ataques permitem que scripts externos sejam executados na sessão de um usuário no contexto do navegador logado. Os invasores podem usá-los para roubar informações da sessão e dados confidenciais.