XML マークアップをエスケープ
glide.ui.escape_text プロパティを使用して、パーサーレベルで XML 値を強制的にエスケープしてから、クライアントのブラウザに送信します。
glide.ui.escape_textシステムプロパティを使用して、ユーザーインターフェイスのパーサーレベルで XML 値をエスケープします。これは、リフレクトおよびストア型クロスサイトスクリプティング攻撃を防止します。このプロパティは、サービスポータルには適用されません。
クロスサイトスクリプティングは、攻撃者が悪意のある JavaScript をエントリーポイントに挿入するときに発生します。プラットフォーム/アプリケーションは、被害者のブラウザに送信して実行する前に悪意のある JavaScript をエスケープすることができません。このコンテキストでのエスケープとは、次のことを意味します。
- & -->
& - < -->
< - > -->
> - " -->
" - ' -->
' - / -->
/
例:<![CDATA[<script>alert('XSS Attack');]]>
エスケープ:<script>alert('XSS Attack');</script>
glide.ui.escape_text プロパティがシステムプロパティ [sys_properties] テーブルに存在し、true に設定されていることを確認します。
警告:
これはセーフハーバープロパティです。つまり、いったん変更したら変えることはできません。元に戻すことはできません。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 | glide.ui.escape_text |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | ブーリアン |
| 推奨値 | true |
| デフォルト値 | <なし> |
| フォールバック値 | false |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| セキュリティリスク |
|
| 機能への影響 | なし |
| 依存関係と前提条件 | なし |