Como desabilitar o código HTML integrado [Atualizado na Central de segurança 1.3]

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Use a propriedade glide.ui.security.allow_codetag para desabilitar o suporte para incorporação de código HTML criado usando o marcador [code].

    Desabilite o suporte para exibir código HTML incorporado usando o marcador [code]. Este marcador permite que o HTML renderizado seja exibido em campos de diário e pode levar a ataques de script entre sites (XSS). Esses ataques podem permitir que scripts externos sejam executados em uma sessão de usuário no contexto do navegador conectado. Os invasores podem usar esses scripts para roubar informações da sessão e dados confidenciais. A linguagem HTML não foi projetada para separar o script da formatação, portanto, permitir que o HTML seja controlado pelo usuário em qualquer sistema tem um risco inerente.

    Definir glide.ui.security.codetag.allow_script como falso está em conformidade e reduz significativamente esse risco, no entanto, alguns pequenos riscos permanecem. Ele desabilita somente a parte do script de um marcador de código e depende da limpeza de todas as convenções conhecidas de script no HTML.

    Defina a propriedade do sistema glide.ui.security.allow_codetag como falsa para proibir completamente os campos de diário e formulários de exibir HTML renderizado.

    A Now Platform atenua muitos ataques de injeção e entre sites implementando técnicas de escape e codificação. Como resultado, os usuários não podem escrever/enviar entradas no formato HTML para campos de diário. Mas os campos de diário podem renderizar texto entre tags de código como HTML.
    • No entanto, há um risco de segurança associado. Se definido como verdadeiro, usuários mal-intencionados podem gravar código HTML JS prejudicial que pode ser executado em um navegador do cliente diferente após a renderização de campos de diário.
    • Defina esta propriedade como falsa para que os administradores possam impedir que os campos de diário renderizem o código HTML, desabilitando o suporte para o marcador [code].

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.ui.security.allow_codetag
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Categoria Validação, limpeza e codificação
    Configurar na Central de segurança da instância Sim
    Finalidade Proteger contra scripts entre sites e execução de scripts mal-intencionados
    Valor recomendado falso
    Valor padrão verdadeiro
    Classificação de risco de segurança 4,2
    Impacto funcional Esta correção impõe a codificação HTML na IU e renderiza os resultados codificados para o usuário.

    Esta propriedade é definida como verdadeira por padrão. Nesse estado, sua instância exibe HTML renderizado em formulários e campos de diário.

    Se esta propriedade estiver definida como falsa, o HTML não será renderizado corretamente e as tags HTML poderão aparecer nos campos de diário em formulários. Ela pode ter um impacto adverso na funcionalidade e nas interações do usuário com os dados resultantes.
    Risco à segurança (Médio) A validação de entrada deve ocorrer na aplicação para defesa contra ataques de script entre sites. Esses ataques permitem que scripts externos sejam executados na sessão de um usuário no contexto do navegador logado. Os invasores podem usá-los para roubar informações da sessão e dados confidenciais.