Activer la protection de l’interpolation Jelly JS pour les expressions imbriquées

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Gérez la protection contre l’interpolation sur votre instance.

    Utilisez la propriété pour gérer la protection contre l’interpolationglide.ui.jelly.js_interpolation.protect_nested_expressions. La protection contre l’interpolation garantit que lorsque des expressions Jelly sont utilisées en JavaScript, elles doivent être considérées comme sûres en relevant de certaines catégories ou en étant marquées comme SAFE dans l’expression elle-même. Si cette atténuation n’est pas activée, un acteur malveillant peut envoyer un paramètre GET à une page Jelly et entraîner l’évaluation du contenu de ce paramètre en tant que JavaScript côté serveur avec des privilèges d’administrateur. Si cette propriété n’est pas définie sur la valeur recommandée vrai, les expressions Jelly malveillantes interpolées en JavaScript sont autorisées et un utilisateur peut exécuter du code à l’aide d’un modèle Jelly.

    Avertissement :
    Il s’agit d’une propriété de sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.

    En savoir plus

    Attribut Description
    Nom de la configuration glide.ui.jelly.js_interpolation.protect_nested_expressions
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données booléen
    Valeur recommandée VRAI
    Valeur par défaut faux
    Catégorie Validation, nettoyage et codage
    Risque de sécurité
    • Score de gravité : 9
    • Score CVSS : critique
    • Détails des risques de sécurité : Si la propriété est définie sur false, les expressions Jelly malveillantes sont autorisées.
    Dépendances et prérequis Aucun