Desabilitar marcadores JavaScript no HTML incorporado [Atualizado na Central de segurança 1.3]
Use a propriedade glide.ui.security.codetag.allow_script para desabilitar o suporte para incorporação de código HTML JavaScript criado usando o marcador [code].
A ServiceNow AI Platform atenua muitos ataques de injeção e entre sites implementando técnicas de escape e codificação. Como resultado, os usuários não podem escrever e enviar entradas no formato HTML para campos de diário. No entanto, os campos de diário podem renderizar texto entre marcadores de código como HTML. Certifique-se de que glide.ui.security.codetag.allow_script exista na tabela sys_properties e esteja definido como falso.
- No entanto, há um risco de segurança associado. Se definida como verdadeira, usuários mal-intencionados podem gravar código HTML JavaScript prejudicial que pode ser executado em um navegador do cliente diferente após a renderização de campos de diário.
- Defina esta propriedade como falsa para que os administradores possam impedir que os campos de diário renderizem o código HTML JavaScript, desabilitando o suporte para o marcador
[code].
Aviso:
Esta é uma propriedade tipo porto seguro, o que significa que o valor não pode ser alterado após ser mudado. A reversão não é possível.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.ui.security.codetag.allow_script |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Protege contra scripts entre sites e execução de scripts mal-intencionados |
| Valor recomendado | falso |
| Valor-padrão | falso |
| Classificação de risco de segurança | 8,8 |
| Impacto funcional | Esta correção impõe a ocorrência de escape de JavaScript na IU e renderiza os resultados codificados para o usuário. Ela pode ter um impacto na funcionalidade com base na interação do usuário da instância com os dados resultantes. |
| Risco à segurança | (Alto) A validação de entrada deve ocorrer na aplicação para defesa contra ataques de script entre sites. Esses ataques permitem que scripts externos sejam executados na sessão do usuário no contexto do navegador logado. Os invasores podem usá-los para roubar informações da sessão e dados confidenciais. |
| Referências | Restringir o marcador CODE nos campos de diário |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.