Exigir a verificação de ACL de AJAXGlideRecord [Atualizado na Central de segurança 1.3]

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Use a propriedade glide.script.secure.ajaxgliderecord para executar a validação da regra de controle de acesso (ACL) quando registros do lado do servidor, como tabelas, forem acessados usando APIs GlideAjax em um script do cliente.

    Nos scripts de cliente, é possível consultar dados arbitrários do servidor usando AJAXGlideRecord (GlideAjax - ClienteAPI ), usando uma sintaxe como um registro do Glide no lado do servidor. É uma ferramenta poderosa e útil em muitas implantações.

    Se você optar por aplicar ACLs (Access Control Lists, listas de controle de acesso) às chamadas de API GlideAjax, só será possível consultar os dados aos quais o usuário conectado no momento tem acesso. Por exemplo, se um usuário ESS que não tem direitos para ler a tabela cmn_location estiver conectado, qualquer chamada de API GlideAjax para essa tabela falhará.

    Se o ServiceNow AI Platform estiver sendo executado sem a verificação de chamada da ACL GlideAjax, uma API poderá retornar informações que o usuário conectado no momento não poderia acessar.

    Use GlideRecordSecure ao consultar dados para garantir o mais alto nível de segurança. O GlideRecord depende da imposição de ACL por meio de configurações, enquanto o GlideRecordSecure aplica controles de segurança mais rigorosos. GlideRecordSecure oferece uma solução mais segura e pronta para uso para lidar com dados confidenciais.

    Aviso:
    Esta é uma propriedade tipo porto seguro, o que significa que o valor não pode ser alterado após ser mudado. A reversão não é possível.

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.script.secure.ajaxgliderecord
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Categoria Controle de acesso
    Finalidade Garantir que as ACLs de segurança sejam verificadas e validadas mesmo quando os registros forem acessados por meio de APIs do lado do cliente.
    Valor recomendado verdadeiro
    Valor-padrão verdadeiro
    Classificação de risco de segurança 8,1
    Impacto funcional Esta correção impõe o relacionamento de ACL com registros do lado do servidor quando as solicitações são feitas usando as chamadas de API AJAXGlideRecord. Se a configuração da ACL não estiver configurada corretamente, há um possível impacto. Para obter mais detalhes sobre seu impacto e como identificá-lo, consulte o artigo Auditar e revisar transações GlideRecord do lado do cliente (AJAXGlideRecord) [KB0550828] em HI Base de conhecimento .
    Risco à segurança (Alto) Por meio de scripts do cliente, é possível consultar dados arbitrários do servidor por meio da API GlideAjax. Os recursos do lado do servidor podem ser acessados sem a autorização apropriada, portanto, o uso da validação de ACL ajuda a aplicação a validar a solicitação com base na autorização configurada.
    Solução alternativa

    Certifique-se de que as ACLs apropriadas sejam criadas para inclusões de script, processadores e outras entidades usadas por uma API GlideAjax (AJAXGlideRecord) para que elas sejam executadas com a devida autorização.

    Implemente métodos como canRead (), canWrite(), canCreate () e canDelete () para executar a autorização do usuário antes de acessar registros de tabela usando GlideRecord.

    Outro método é usar o GlideRecordSecure. A classe é herdada do servidor GlideRecord que executa as mesmas funções do GlideRecord e também impõe ACLs.
    Referências Aplicar ACLs ao AJAXGlideRecord (registro Glide do lado do cliente)

    Esta propriedade pertence à mesma família de propriedades que protegem e restringem a execução de scripts originados do cliente, como glide.script.allow.ajaxevaluate. Para obter mais informações, consulte Habilitar AJAXvaluate .

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.