Permitir links HTML para domínios confiáveis nos campos de descrição do módulo Espaço de impacto [Novo na Central de segurança 7,0]

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Use uma propriedade do sistema para ajudar a limpar o HTML permitido nos campos de descrições. Esta propriedade limita os links permitidos somente aos dos domínios confiáveis listados na propriedade.

    Nota:
    Esta configuração de proteção não faz parte da linha de base de proteção. Ele não aparece nas páginas de proteção da Central de segurança e afeta sua pontuação de proteção.

    O módulo Espaço de impacto permite HTML em vários campos relacionados à descrição. Quando configurado, o sn_impact_common.whitelisted.url_HTML_injectiona propriedade do sistema contém uma lista separada por vírgulas de nomes de domínio. Os campos de descrição do módulo Espaço de impacto podem conter HREFs com URLs somente dos domínios listados na propriedade.

    Certifique-se de sn_impact_common.whitelisted.url_HTML_injectionA propriedade do sistema é definida como uma lista separada por vírgulas de nomes de domínio que representam os domínios permitidos em URLs de referência HTTP de campos de descrição para o módulo Espaço de impacto.

    Para proibir HREFs nesses campos, defina a propriedade como uma cadeia de caracteres vazia. Se a propriedade não existir na tabela Propriedades do sistema [sys_properties], ela será padronizada para esta lista: servicenow.com, service-now.com, youtube.com, google.com, youtu.be, soti.net, dpdhl.sharepoint.com, documentation.avaya.com, www.juniper.net, servicenow.sharepoint.com, servicenow-my.sharepoint.com, scaledagileframework.com .

    Mais informações

    Atributo Descrição
    Nome da configuração sn_impact_common.whitelisted.url_HTML_injection
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Tipo de dados Lista de cadeias de caracteres
    Valor recomendado servicenow.com, service-now.com, youtube.com, google.com, youtu.be, soti.net, dpdhl.sharepoint.com, documentation.avaya.com, www.juniper.net, servicenow.sharepoint.com, servicenow-my.sharepoint.com, scaledagileframework.com
    Valor padrão servicenow.com, service-now.com, youtube.com, google.com, youtu.be, soti.net, dpdhl.sharepoint.com, documentation.avaya.com, www.juniper.net, servicenow.sharepoint.com, servicenow-my.sharepoint.com, scaledagileframework.com
    Valor de fallback servicenow.com, service-now.com, youtube.com, google.com, youtu.be, soti.net, dpdhl.sharepoint.com, documentation.avaya.com, www.juniper.net, servicenow.sharepoint.com, servicenow-my.sharepoint.com, scaledagileframework.com
    Categoria Validação, limpeza e codificação
    Risco à segurança
    • Pontuação de gravidade: 4,4
    • Pontuação do CVSS: média
    • Se um domínio não confiável for adicionado à propriedade, isso abrirá esses campos para que contenham links para fontes arriscadas que podem levar a ataques de injeção de HTML. O risco exato depende da instância do cliente.
    Impacto funcional Se a propriedade estiver vazia, nenhum HREFs será permitido no texto do campo e todos os HREFs serão removidos. Todos os links que usam domínios não listados na propriedade são removidos. Um valor inadequado para este campo pode resultar em dados corrompidos para os campos afetados.
    Dependências e pré-requisitos . sn_impact_common.blacklist_tags_HTML_injectionA propriedade do sistema contém marcadores HTML que circundam os links HREF, então todos os links dentro desses marcadores serão removidos.

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.