Escapar JavaScript [Atualizado na Central de segurança 1.3]
Use a propriedade glide.html.escape_script para forçar o escape de marcadores JavaScript (<script></script>) em campos HTML nas exibições de lista.
A propriedade glide glide.html.escape_script ajuda a limpar os campos HTML. Se glide.html.escape_script não estiver definido com o valor recomendado de verdadeiro, as entradas não serão limpas para campos HTML (codificação de saída) de um contexto Java de back-end removendo o JavaScript incorporado. Javascript em campos HTML pode levar a XSS armazenado e refletido. A capacidade de ter XSS pode levar à escalação de privilégios facilmente alcançada para funções superiores, como administrador, onde mais movimento lateral pode ser realizado.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.html.escape_script |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Prevenir ataques de script entre sites contra uma aplicação. |
| Valor recomendado | verdadeiro |
| Valor-padrão | verdadeiro |
| Classificação de risco de segurança | 8,8 |
| Impacto funcional | Esta correção impõe o escape de JavaScript na IU e renderiza os resultados codificados para o usuário. Ela pode ter um impacto na funcionalidade com base na interação do usuário da instância com os dados resultantes. |
| Risco à segurança | (Alto) A validação de entrada deve ocorrer na aplicação para defesa contra ataques de script entre sites. Esses ataques permitem que scripts externos sejam executados na sessão do usuário no contexto do navegador logado. Os invasores podem usá-los para roubar informações da sessão e dados confidenciais. |
| Referências |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.