Habilitar proteção de interpolação do JS Jelly
Use a propriedade glide.ui.jelly.js_interpolation.protect para garantir que qualquer JavaScript prestes a ser executado em uma página do Jelly esteja protegido contra injeção com a ajuda da interpolação do Jelly.
- Escapa dos resultados por segurança, ou
- Se a segurança não puder ser garantida, gera uma SecurityException porque a expressão que seria avaliada representa um possível problema de segurança.
Aviso:
Esta é uma propriedade tipo porto seguro, o que significa que o valor não pode ser alterado após ser mudado. A reversão não é possível.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.ui.jelly.js_interpolation.protect |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Atenuar os ataques de execução de código mal-intencionado que podem ocorrer usando o Jelly Injection. |
| Valor recomendado | verdadeiro |
| Valor-padrão | falso |
| Classificação de risco de segurança | 9 |
| Impacto funcional | Esta propriedade faz uma melhor estimativa de se uma expressão está entre aspas. Ela pode citar incorretamente uma expressão legítima. Nesse caso, pode ser necessário marcar manualmente uma expressão como segura. |
| Risco à segurança | (Moderado) A injeção de JEXL é uma forma de injeção de entrada exclusiva da ServiceNow AI Platform que pode levar à falsificação de solicitação entre sites e à execução de código. Desativar completamente a proteção pode abrir muitas vulnerabilidades de segurança P1. |
| Solução alternativa | Para marcar manualmente uma expressão como segura, adicione o prefixo SAFE à expressão do Jelly:
Adicionar SAFE às cegas a cada expressão é a maneira incorreta de abordar o problema, pois pode abrir uma vulnerabilidade de segurança.
|
| Referências | Marcadores Jelly |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.