Escapar HTML em exibições de lista [Atualizado na Central de segurança 1.3 e 1.5]
Use a propriedade glide.ui.escape_html_list_field para forçar escapes de HTML para campos HTML em uma exibição de lista.
Esta propriedade ajuda a limpar a exibição de lista de campos HTML. Se glide.ui.escape_html_list_field não estiver definido com o valor recomendado de verdadeiro, um usuário mal-intencionado poderá injetar código HTML no campo de formulário para executar scripts indesejados em diferentes sessões de cliente/usuário. Isso pode ser aproveitado por invasores para roubar informações da sessão e dados confidenciais.
Aviso:
Esta é uma propriedade tipo porto seguro, o que significa que o valor não pode ser alterado após ser mudado. A reversão não é possível.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.ui.escape_html_list_field |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Prevenir ataques de script entre sites à aplicação. |
| Valor recomendado | verdadeiro |
| Valor-padrão | verdadeiro |
| Classificação de risco de segurança | 8,8 |
| Impacto funcional | Esta correção impõe a codificação HTML na IU no nível do analisador de HTML e, portanto, renderiza os resultados codificados para o usuário. Ela pode ter um impacto na funcionalidade com base na interação do usuário da instância com os dados resultantes. |
| Risco à segurança | (Alto) A validação de entrada deve ocorrer na aplicação para defesa contra ataques de script entre sites. Esses ataques permitem que scripts externos sejam executados nas sessões do usuário no contexto do navegador conectado. Os invasores podem usá-los para roubar informações da sessão e dados confidenciais. |
| Referências |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.