HTML-Bereinigung erzwingen [Aktualisiert in Security Center 1.3]

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft com.glide.security.check_unsanitized_html, um das Bereinigungsverhalten von „translated_html“-Feldern auf globaler Ebene für Feldzuweisungen zu erzwingen.

    HTML ist einer der Typen, die den Wörterbuchfeldern zugewiesen werden können. Die Zuweisung von HTML-Feldern zu einem beliebigen Feldtyp bietet die Funktionalität zum Formatieren von Inhalten mithilfe von HTML-Tags (z. B. <p>, <a href>, <b>, <font>, <img>). Um böswillige Aktivitäten zu verhindern, können bestimmte HTML-Tags mithilfe einer Sperrliste gesperrt werden. Diese Eigenschaft verhindert, dass unzulässige Tags in „translated_html“-Feldern in Ihrer Instanz verwendet werden.
    • Legen Sie diese Eigenschaft fest, um das Bereinigungsverhalten von „translated_html“-Feldern zu erzwingen.
    • Legen Sie die Eigenschaft auf „disable“ fest, um die HTML-Bereinigung zu deaktivieren und blockierte HTML-Tags in „translated_html“-Feldern zuzulassen.
    Warnung:
    Dies ist eine Safe-Harbor-Eigenschaft, was bedeutet, dass der Wert nicht mehr geändert werden kann, nachdem er geändert wurde. Er kann nicht rückgängig gemacht werden.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname com.glide.security.check_unsanitized_html
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Verhindert die Verwendung unsicherer HTML-Tags zum Schutz vor Angriffen wie websiteübergreifendem Skripting.
    Typ Zeichenfolge
    Empfohlener Wert erzwingen
    Sicherheitsrisikobewertung 7.3
    Funktionale Auswirkung (Mittel) Diese Fehlerkorrektur erzwingt die HTML-Bereinigung in der Benutzeroberfläche und rendert übersetzte HTML-Felder für den Benutzer. Dies kann Auswirkungen auf die Lesbarkeit und Formatierung haben.
    Sicherheitsrisiko (Hoch) Die Eingabevalidierung muss in der Anwendung erfolgen, um sich gegen websiteübergreifende Skripting-Angriffe zu schützen. Diese Angriffe ermöglichen die Ausführung fremder Skripts in Benutzersitzungen im Kontext des angemeldeten Browsers. Angreifer können damit Sitzungsinformationen und vertrauliche Daten stehlen.
    Referenzen HTML-Bereinigung

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.