Nettoyer le HTML dans les champs de description du module de l’espace de travail Impact [Nouveau dans Security Center 7.0]

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Nettoyez le code HTML dans les champs de description en supprimant les balises HTML qui sont des sources d’attaques par injection HTML avec la sn_impact_common.blacklist_tags_HTML_injection propriété.

    Le module Impact Workspace autorise le HTML dans les champs de description suivants :
    • Champ customer_notes des tables sn_impact_common_capabilities_map et sn_impact_common_par_version_phase_app_mapping.
    • Champ manual_description de la table sn_impact_common_manual_capability_description.

    Lorsque cette propriété système contient une liste de balises HTML séparées par des virgules (par exemple, des scripts), ces balises et leur contenu sont supprimés des parties HTML des champs répertoriés. La suppression de ces balises permet de nettoyer le HTML dans les champs de description en supprimant les balises HTML qui sont des sources d’attaques par injection HTML. Si cette propriété n’est pas définie dans la table Propriétés système [sys_properties], la valeur par défaut est une liste de balises HTML refusées. Si la propriété est vide, toutes les balises HTML sont autorisées.

    Utilisez l’option sn_impact_common.blacklist_tags_HTML_injection fournir une liste séparée par des virgules de balises HTML qui sont supprimées des champs de description du module Espace de travail d’impact. Cette suppression permet d’éviter les attaques par injection HTML. Au minimum, cette liste doit contenir le contenu de la liste par défaut. Si la propriété n’est pas définie dans la table Propriétés système [sys_properties], elle utilise par défaut le script de liste,iframe,object,embed,form,onerror,onload,style,img,video,audio,source,button.

    En savoir plus

    Attribut Description
    Nom de la propriété sn_impact_common.blacklist_tags_HTML_injection
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, nettoyage et codage
    Objectif Nettoyez le code HTML dans les champs de description en supprimant les balises HTML qui sont des sources d’attaques par injection HTML.
    Valeur recommandée Au minimum, la valeur par défaut de script,iframe,object,embed,form,onerror,onload,style,img,video,audio,source,button
    Valeur par défaut script,iframe,object,embed,form,onerror,onload,style,img,video,audio,source,button
    Cote de risque de sécurité 4.4
    Impact fonctionnel Si une balise HTML est ajoutée à la liste par défaut, elle peut limiter la fonctionnalité HTML requise des champs de description. L’impact exact dépend de l’instance client.
    Risque de sécurité (Moyen)
    Références

    Paramètres de sécurité élevée

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.