Certifique-se de que a Pesquisa contextual não contenha um redirecionamento não validado [Novo na Central de segurança 7,0]
Impedir que os resultados da Pesquisa contextual contenham links de referência fora do domínio atual com uma propriedade do sistema.
O plug-in Pesquisa contextual exibe os resultados da pesquisa em uma nova janela usando cxs_new_windowPágina de IU. Esta página de IU contém um link de referência que pode ser definido fornecendo um valor para sysparm_url. . com.snc.contextual_search.cxs_new_window.force_relative_linka propriedade do sistema está definida como verdadeiro , sysparm_urlsó pode conter links relativos ao domínio atual. Esta restrição impede que a página de IU seja usada como um redirecionamento não validado para um site controlado pelo invasor. Quando a propriedade está definida como falso , sysparm_urlpode vincular a qualquer site.
Defina com.snc.contextual_search.cxs_new_window.force_relative_linkpropriedade para verdadeiro . Se a propriedade não existir na tabela Propriedades do sistema [sys_properties], o valor padrão será falso . Se a propriedade existir na tabela, o padrão será verdadeiro .
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da configuração | com.snc.contextual_search.cxs_new_window.force_relative_link |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Tipo de dados | Booliano |
| Valor recomendado | verdadeiro |
| Valor-padrão | verdadeiro |
| Valor de fallback | falso |
| Categoria | Validação, limpeza e codificação |
| Risco à segurança |
|
| Impacto funcional | Quando definido como verdadeiro , sysparm_urlsó pode conter links relativos ao domínio atual. Essa restrição significa que a página de IU só pode vincular a páginas da Web no domínio atual. No entanto, a página de IU deve exibir os resultados de pesquisa do domínio atual e só deve ser vinculada ao domínio atual. |
| Dependências e pré-requisitos | O plug-in Pesquisa contextual (com.snc.contextual_search) deve estar ativo. |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.