Activer l’assainisseur HTML [mis à jour dans le centre de sécurité 1.3]

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Utilisez la glide.html.sanitize_all_fields propriété pour activer l’include de script HTMLSanitizer, qui nettoie l’entrée HTML selon les attributs et les attributs d’inclusion configurés dans un script.

    Les types de champs disponibles avec le dictionnaire/les champs incluent HTML et HTML traduit. Ces champs d’entrée HTML permettent aux utilisateurs d’écrire des entrées au format HTML, par exemple :

    <h1>Testez</h1> en utilisant les balises HTML les plus basiques telles que <img>, <a href …>et <iframe>.

    Cela peut ouvrir la porte à un attaquant malveillant pour injecter un vecteur malveillant avec des balises HTML telles que :

    [<IMG SRC=" &#14; JavaScript:alert('XSS');">][],<IMG onmouseover="alert('xss')">[a href=" » onclick=alert(/xss/)].

    En savoir plus

    Attribut Description
    Nom de la propriété glide.html.sanitize_all_fields
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, nettoyage et codage
    Objectif Empêche l’application contre les attaques de script de site à site et d’injection HTML
    Valeur recommandée VRAI
    Valeur par défaut VRAI
    Cote de risque de sécurité 8.8
    Impact fonctionnel Cette correction applique un mécanisme de codage de sortie HTML avant que les données utilisateur ne soient restituées à l’utilisateur. Si le client dispose d’une personnalisation qui implique le rendu de l’attribut HTML ou des données de contenu, il y a un impact sur la fonctionnalité.
    Risque de sécurité (Élevé) L’entrée de l’utilisateur doit être traitée en toute sécurité lorsque les données sont stockées et traitées sur l’application. Cela réduit les attaques de script de site à site côté client en encodant les données en sortie.
    Solution de contournement

    Cette propriété nettoie tous les champs HTML du système. Si vous devez activer l’assainissement HTML sur des champs individuels, consultez Activer l’assainissement sur des champs individuels.

    Vous pouvez également configurer la liste d’inclusion ou la liste d’exclusion pour assainir les balises HTML et les attributs conformément à la politique de votre entreprise.
    Références

    Activer l’assainisseur HTML

    Assainisseur HTML

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.