Exiger la vérification de l’ACL AJAXGlideRecord [Mise à jour dans Security Center 1.3]

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Utilisez cette propriété pour effectuer la glide.script.secure.ajaxgliderecord validation de la règle de contrôle d’accès (ACL, Access Control Rule) lorsque l’accès aux enregistrements côté serveur, tels que les tables, se fait à l’aide d’API GlideAjax à l’intérieur d’un script client.

    À partir de scripts clients, il est possible d’interroger des données arbitraires du serveur à l’aide de l’attribut AJAXGlideRecord (GlideAjax -Client), à l’aide d’une syntaxe telle qu’un enregistrement Glide côté serveur. C’est un outil puissant et utile dans de nombreux déploiements.

    Si vous choisissez d’appliquer des listes de contrôle d’accès (ACL) aux appels d’API GlideAjax, vous pouvez interroger uniquement les données auxquelles l’utilisateur actuellement connecté a accès. Par exemple, si un utilisateur ESS qui n’a pas le droit de lire la table cmn_location est connecté, tout appel d’API GlideAjax à cette table échouera.

    Si le est en cours d’exécution sans vérification de l’appel Now Platform GlideAjax ACL, une API peut renvoyer des informations auxquelles l’utilisateur actuellement connecté ne pourrait pas accéder autrement.

    Avertissement :
    Il s’agit d’une propriété d’exonération, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.script.secure.ajaxgliderecord
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Contrôle d'accès
    Objectif Assurez-vous que les ACL de sécurité sont vérifiées et validées même lorsque les enregistrements sont consultés via des API côté client.
    Valeur recommandée VRAI
    Valeur par défaut VRAI
    Cote de risque de sécurité 8.1
    Impact fonctionnel (Élevé) Cette correction applique la relation ACL avec les enregistrements côté serveur lorsque les demandes sont effectuées à l’aide des appels d’API AJAXGlideRecord. Si la configuration ACL n’est pas correctement configurée, cela peut avoir un impact. Pour plus d’informations sur son impact et sur la façon de l’identifier, consultez Reportez-vous à l’article Auditer et examiner les transactions GlideRecord côté client [KB0550828] dans le HI Base de connaissances .
    Risque de sécurité (Élevé) Grâce aux scripts clients, il est possible d’interroger des données arbitraires du serveur via l’API GlideAjax. Les ressources côté serveur sont accessibles sans autorisation appropriée, de sorte que l’utilisation de la validation ACL aide l’application à valider la demande en fonction de l’autorisation configurée.
    Solution de contournement

    Assurez-vous que les ACL appropriées sont créées pour les script includes, les processeurs et les autres entités utilisées par une API GlideAjax (AJAXGlideRecord) afin qu’elle s’exécute avec l’autorisation appropriée.

    Implémentez des méthodes telles que canRead (),canWrite(),canCreate () et canDelete () pour effectuer l’autorisation de l’utilisateur avant d’accéder aux enregistrements de table à l’aide de GlideRecord.

    Une autre méthode consiste à utiliser GlideRecordSecure. La classe est héritée du serveur GlideRecord qui exécute les mêmes fonctions que GlideRecord et applique également les ACL.
    Références Appliquer des ACL à AJAXGlideRecord (enregistrement Glide côté client)
    Cette propriété appartient à la même famille de propriétés qui sécurisent et restreignent l’exécution des scripts provenant du client :

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.