Désactiver les balises JavaScript dans le HTML intégré [Mise à jour dans Security Center 1.3]
Utilisez la propriété pour désactiver la glide.ui.security.codetag.allow_script prise en charge de l’incorporation du code JavaScript HTML créé à l’aide de la balise [code].
Il Now Platform atténue de nombreuses attaques par injection et intersites en mettant en œuvre des techniques d’échappement et d’encodage. Par conséquent, les utilisateurs ne peuvent pas écrire et soumettre des entrées au format HTML pour les champs de journal. Toutefois, les champs de journal peuvent afficher le texte contenu dans des balises de code au format HTML. Assurez-vous que la glide.ui.security.codetag.allow_script propriété existe dans la table sys_properties et qu’elle est définie sur faux.
- Cependant, il existe un risque de sécurité associé. Si la valeur est définie sur vrai, les utilisateurs malveillants peuvent écrire du code JavaScript HTML nuisible qui peut être exécuté sur un autre navigateur client après le rendu des champs de journal.
- Définissez cette propriété sur faux afin que les administrateurs puissent empêcher les champs journaux de rendre le code JavaScript HTML en désactivant la prise en charge de la balise
[code].
Avertissement :
Il s’agit d’une propriété de sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.ui.security.codetag.allow_script |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Protège contre le script de site à site et l’exécution malveillante de scripts |
| Valeur recommandée | faux |
| Valeur par défaut | faux |
| Cote de risque de sécurité | 8.8 |
| Impact fonctionnel | (Moyen) Cette correction applique l’échappement JavaScript sur l’interface utilisateur et restitue les résultats codés à l’utilisateur. Elle peut avoir un impact sur la fonctionnalité en fonction de l’interaction de l’utilisateur de l’instance avec les données résultantes. |
| Risque de sécurité | (Élevé) La validation des entrées doit avoir lieu dans l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur la session utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles. |
| Références | Limiter la balise CODE dans les champs de journal |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.