Restringir acesso à API programável GlideSystemUserSession [Atualizado na Central de segurança 1,3 e 2,0]

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • A API programável GlideSystemUserSessionSandbox chamável do cliente expõe os métodos addErrorMessageNoSanitization e addInfoMessageNoSanitization do GlideSystemUserSession à área restrita JavaScript. Isso permite que todos os usuários chamem este método por meio de script.

    gs.addErrorMessageNoSanitizationMessaging() e. gs.addInfoMessageNoSanitization() são usados no ambiente de script para registro em log e notificações. Ambos estarão disponíveis na área restrita se esta propriedade não estiver definida com o valor recomendado de falso. A área restrita é um ambiente de script de baixo privilégio disponível para usuários não autenticados e sem função. Esses métodos podem ser usados para exibir entrada não limpa para um usuário. Exibir entrada não limpa para o usuário é perigoso, pois a entrada não limpa pode conter código perigoso que é executado no navegador do usuário. Isso pode ser utilizado para ataques XSS refletidos tradicionais. Os ataques XSS refletidos podem ser usados em vários cenários, incluindo sequestro de sessão.

    Definido glide.sandbox.usersession.allow_unsanitized_messages propriedade do sistema para falso . Se não houver registro desta propriedade na tabela Propriedades do sistema [sys_properties], crie um.

    Aviso:
    Esta é uma propriedade tipo porto seguro, o que significa que o valor não pode ser alterado após ser mudado. A reversão não é possível.

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.sandbox.usersession.allow_unsanitized_messages
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Categoria Controle de acesso
    Finalidade Esta propriedade restringirá a chamada de mensagens informativas ou de erro em uma sessão de usuário em área restrita.
    Tipo Booliano
    Valor recomendado falso
    Valor padrão verdadeiro
    Classificação de risco de segurança 8,1
    Impacto funcional Definir a propriedade com o valor falso resultará em nenhuma criação de mensagem ou registro em log caso essas funções sejam chamadas.
    Risco à segurança (Alto) Sem a limpeza apropriada, o conteúdo potencialmente perigoso pode ser acessado e a função de erro não limpa fica disponível para o script.
    Referências Controle de acesso