Habilitar limpeza de HTML no Virtual Agent [Atualizado na Central de segurança 1,3 e 1,5]
Use a propriedade com.glide.cs.html.sanitizer.enabled para habilitar o HTMLSanitizerService.
Se o HtmlSanitizerService está habilitado. Se com.glide.cs.html.sanitizer.enabledNão está definido como verdadeiro, então um ataque de script entre sites (XSS) armazenado é possível no cliente web do VA.
Mais informações
Aviso:
Esta é uma propriedade tipo porto seguro, o que significa que o valor não pode ser alterado após ser mudado. A reversão não é possível.
| Atributo | Descrição |
|---|---|
| Nome da propriedade | com.glide.cs.html.sanitizer.enabled |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Prevenir ataques de script entre sites e injeção de HTML à aplicação. |
| Valor recomendado | verdadeiro |
| Valor-padrão | verdadeiro |
| Classificação de risco de segurança | 8 |
| Impacto funcional | Esta correção impõe o mecanismo de codificação de saída HTML antes que os dados do usuário sejam renderizados de volta para o usuário. Se o cliente tiver alguma personalização que envolva a renderização do atributo HTML ou dos dados de conteúdo, haverá um impacto na funcionalidade. |
| Risco à segurança | (Alto) A entrada do usuário deve ser tratada com segurança quando os dados são armazenados e processados na aplicação. Isso reduz os ataques de script entre sites do lado do cliente, codificando os dados de saída. |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.