Restreindre l’accès à l’API scriptable GlideSystemUserSession

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • L’API scriptable GlideSystemUserSessionSandbox appelable par le client expose les méthodes GlideSystemUserSession addErrorMessageNoSanitization et addInfoMessageNoSanitization au bac à sable JavaScript. Cela permet à tous les utilisateurs d’appeler cette méthode via le script.

    Les méthodes gs.addErrorMessageNoSanitizationMessaging() et gs.addInfoMessageNoSanitization() sont utilisées dans l’environnement de script pour la connexion et les notifications. Ces deux éléments sont disponibles dans le bac à sable si cette propriété n’est pas définie sur la valeur recommandée false. Le bac à sable (sandbox) est un environnement de script avec peu de privilèges accessible aux utilisateurs non authentifiés et sans rôle. Ces deux méthodes peuvent être utilisées pour afficher une entrée non expurgée à un utilisateur.

    Assurez-vous que la glide.sandbox.usersession.allow_unsanitized_messages propriété système est définie sur false. Si cette propriété n’existe pas dans la table Propriétés système [sys_properties], créez-la.

    Avertissement :
    Il s’agit d’une propriété de la sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.

    En savoir plus

    Attribut Description
    Nom de la configuration glide.sandbox.usersession.allow_unsanitized_messages
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données Booléen
    Valeur recommandée faux
    Valeur par défaut vrai
    Valeur de secours vrai
    Catégorie Contrôle d'accès
    Risque de sécurité
    • Score de gravité : 8,1
    • Évaluation CVSS : élevée
    • Détails du risque de sécurité : l’affichage d’une entrée non expurgée à l’utilisateur est dangereux, car l’entrée non expurgée peut contenir du code dangereux qui s’exécute dans le navigateur de l’utilisateur. Cela peut être utilisé pour les attaques XSS réfléchies traditionnelles. Les attaques XSS réfléchies peuvent être utilisées dans plusieurs scénarios, y compris le détournement de session.
    Impact fonctionnel Aucun
    Dépendances et prérequis Aucun