Désactiver le code HTML intégré [Mis à jour dans le Centre de sécurité 1.3]

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Utilisez la propriété pour désactiver la prise en charge de l’incorporation glide.ui.security.allow_codetag du code HTML créé à l’aide de la balise [code].

    Désactiver la prise en charge de l’affichage du code HTML incorporé à l’aide de la balise [code]. Cette balise permet au HTML rendu de s’afficher dans les champs de journal et peut entraîner des attaques de script de site à site (XSS). Ces attaques peuvent permettre à des scripts étrangers de s’exécuter sur une session utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent utiliser ces scripts pour voler des informations de session et des données sensibles. Le langage HTML n’a pas été conçu pour séparer le script du formatage, donc permettre le HTML contrôlé par l’utilisateur dans n’importe quel système comporte un risque inhérent.

    Définir le glide.ui.security.codetag.allow_script sur faux est conforme et réduit considérablement ce risque, mais un petit risque subsiste. Il désactive uniquement la partie script d’une balise de code et s’appuie sur l’assainissement de toutes les conventions connues du script dans le HTML.

    Définissez la propriété système glide.ui.security.allow_codetag sur false pour interdire complètement aux champs et formulaires journal d’afficher le code HTML rendu.

    Il ServiceNow AI Platform atténue de nombreuses attaques par injection et cross-site en mettant en œuvre des techniques d’échappement et de codage. Par conséquent, les utilisateurs ne peuvent pas écrire/soumettre d’entrées au format HTML pour les champs journal. Mais les champs journal peuvent rendre le texte entouré de balises de code en HTML.
    • Cependant, il existe un risque de sécurité associé. Si la valeur est définie sur vrai, des utilisateurs malveillants peuvent écrire du code JS HTML nuisible qui peut être exécuté sur un autre navigateur client après le rendu des champs de journal.
    • Définissez cette propriété sur faux afin que les administrateurs puissent empêcher les champs de journal de rendre le code HTML en désactivant la prise en charge de la balise [code].

    En savoir plus

    Attribut Description
    Nom de la propriété glide.ui.security.allow_codetag
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, nettoyage et codage
    Configurer dans le centre de sécurité de l’instance Oui
    Objectif Protégez-vous contre le script de site à site et l’exécution de scripts malveillants
    Valeur recommandée faux
    Valeur par défaut VRAI
    Cote de risque de sécurité 4.2
    Impact fonctionnel Cette correction force l’encodage HTML à se produire sur l’interface utilisateur et rend les résultats encodés à l’utilisateur.

    Par défaut, cette propriété est définie sur vrai . Dans cet état, votre instance affiche le rendu HTML dans les champs de journal et les formulaires.

    Si cette propriété est définie sur false, le HTML n’est pas rendu correctement et les balises HTML peuvent apparaître dans les champs de journal des formulaires. Elle peut avoir un impact négatif sur les fonctionnalités et sur les interactions de l’utilisateur avec les données qui en résultent.
    Risque de sécurité (Moyen) La validation de l’entrée doit avoir lieu dans l’application pour se défendre contre les attaques de script de site à site. Ces attaques permettent à des scripts étrangers de s’exécuter sur une session utilisateur dans le contexte du navigateur connecté. Les attaquants peuvent l’utiliser pour voler des informations de session et des données sensibles.