Escapar JavaScript [Atualizado na Central de segurança 1,3]
Use a propriedade glide.html.escape_script para forçar o escape de marcadores JavaScript (<script></script>) em campos HTML nas exibições de lista.
A propriedade glide glide.html.escape_scriptAjuda a limpar campos HTML. Se glide.html.escape_script Não está definido com o valor recomendado de verdadeiro, as entradas não serão limpas para campos HTML (codificação de saída) de um contexto Java de back-end removendo o JavaScript incorporado. JavaScript em campos HTML pode levar a XSS armazenado e refletido. A capacidade de ter XSS pode levar à escalação de privilégio facilmente alcançada para funções superiores, como administrador, onde mais movimento lateral pode ser realizado.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.html.escape_script |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Prevenir ataques de script entre sites contra uma aplicação. |
| Valor recomendado | verdadeiro |
| Valor-padrão | verdadeiro |
| Classificação de risco de segurança | 8,8 |
| Impacto funcional | Esta correção impõe a ocorrência de escape de JavaScript na IU e renderiza resultados codificados para o usuário. Ela pode ter um impacto na funcionalidade com base na interação do usuário da instância com os dados resultantes. |
| Risco à segurança | (Alto) A validação de entrada deve ocorrer na aplicação para defesa contra ataques de script entre sites. Esses ataques permitem que scripts externos sejam executados na sessão do usuário no contexto do navegador logado. Os invasores podem usá-los para roubar informações da sessão e dados confidenciais. |
| Referências |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.