Excel-Formeln codieren [In Security Center 1.3 aktualisiert]

  • Freigeben Version: Yokohama
  • Aktualisiert 12. Februar 2025
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.export.escape_formulas, um die Excel-Injektion, auch bekannt als Formelinjektion, zu verhindern.

    Verhindern Sie, dass potenziell schädliche Formeln in Programmen wie Excel nach dem Exportieren und Öffnen der Datei ausgeführt werden, indem Sie Formeln in diesen Dateien mit Escape-Zeichen versehen. Eine Excel-Einschleusung tritt auf, wenn Websites nicht vertrauenswürdige Einträge in Excel-Dateien einbetten. Wenn Sie eine Tabellenkalkulationsanwendung wie Microsoft Excel oder LibreOffice Call verwenden, um eine Datei zu öffnen, werden alle Zellen, die mit +, -, = oder @ beginnen, als Formel interpretiert, sofern sie nicht ordnungsgemäß mit Escape-Zeichen versehen sind. Böswillige Formeln stellen auch dann ein Risiko dar, wenn die Tabelle keine vertraulichen Informationen enthält, da sie verwendet werden können, um den Computer des Betrachters durch Codeausführung zu gefährden.

    Legen Sie die Systemeigenschaft „glide.export.escape_formulas“ auf „wahr“ fest, um die Ausführung dieser Formeln zu unterbrechen.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.export.escape_formulas
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Um die Anwendung gegen die Excel- oder Formelinjektion zu verhindern.
    Empfohlener Wert wahr
    Standardwert falsch
    Sicherheitsrisikobewertung 6.4
    Funktionale Auswirkung Böswillig erstellte Formeln können dazu verwendet werden, den Computer des Anwenders zu kapern, indem Schwachstellen in der Tabellenkalkulationssoftware ausgenutzt werden.
    Sicherheitsrisiko (Moderat) Böswillige Formeln stellen auch dann ein Risiko dar, wenn die Einbettungstabelle keine vertraulichen Informationen enthält, da sie dazu verwendet werden können, den Computer des Betrachters zu gefährden.
    Workaround Erwägen Sie als Alternative, nach Möglichkeit alle nachfolgenden Leerzeichen zu entfernen und alle vom Client bereitgestellten Daten auf alphanumerische Zeichen zu beschränken.
    Referenzen Verfügbare Systemeigenschaften

    Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.