이스케이프 JavaScript [보안 센터 1.3에서 업데이트됨]
목록을 보는 동안 HTML 필드의 JavaScript(<script></script>) 태그에서 강제로 이스케이프하려면 이 glide.html.escape_script 속성을 사용합니다.
glide 속성 glide.html.escape_script 은 HTML 필드를 정리하는 데 도움이 됩니다. glide.html.escape_script 권장 값인 예로 설정되지 않은 경우 포함된 JavaScript를 제거하여 백엔드 Java 컨텍스트에서 HTML 필드(출력 인코딩)에 대한 입력이 삭제되지 않습니다. HTML 필드의 Javascript는 XSS를 저장하고 반영할 수 있습니다. XSS를 사용할 수 있는 기능은 더 많은 측 이동이 가능한 관리자와 같은 더 높은 역할로 쉽게 얻을 수 있는 권한 에스컬레이션으로 이어질 수 있습니다.
경고:
이는 세이프 하버 속성이므로 한 번 변경하면 값을 변경할 수 없습니다. 되돌릴 수 없습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.html.escape_script |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 확인, 위생 및 인코딩 |
| 목적 | 애플리케이션에 대한 교차 사이트 스크립팅 공격을 방지합니다. |
| 권장 값 | 예 |
| 기본값 | 예 |
| 보안 위험 등급 | 8.8 |
| 기능적 영향 | 이렇게 정정하면 UI에 JavaScript 이스케이핑이 적용되고 인코딩된 결과를 사용자에게 렌더링합니다. 결과 데이터에 대한 인스턴스 사용자의 상호작용에 따라 기능에 영향을 미칠 수 있습니다. |
| 보안 위험 | (높음) 교차 사이트 스크립팅 공격을 방어하기 위해 애플리케이션에서 입력 유효성 확인 검사가 수행되어야 합니다. 이러한 공격을 통해 외부 스크립트가 로그인된 브라우저의 컨텍스트에서 사용자 세션에 실행될 수 있습니다. 공격자는 이를 사용하여 세션 정보와 민감한 데이터를 훔칠 수 있습니다. |
| 참조 |
시스템 속성 추가 또는 작성에 대한 자세한 내용은 다음 문서를 참조하십시오 Add a system property.