Nettoyer le HTML dans les champs de description du module de lieu de travail à impact

Sécurité de la plateforme Yokohama

Release

yokohama

ft:locale

fr-FR

ft:publication_title

Sécurité de la plateforme Yokohama

ft:clusterId

psec

bundleId

psec

workflow

Platform

Nettoyer le HTML dans les champs de description du module de lieu de travail à impact

Rversion finale: Yokohama

Mis à jour 9 juin 2025

1 minute de lecture

Nettoyez le code HTML dans les champs de description en supprimant les balises HTML qui sont des sources d’attaques par injection HTML avec la sn_impact_common.blacklist_tags_HTML_injection propriété.

Le module Impact Workspace autorise HTML dans les champs de description suivants :

Champ customer_notes des tables sn_impact_common_capabilities_map et sn_impact_common_par_version_phase_app_mapping.
Champ manual_description de la table sn_impact_common_manual_capability_description.

Lorsque cette propriété système contient une liste de balises HTML séparées par des virgules (par exemple, scripts), ces balises et leur contenu sont supprimés des parties HTML des champs répertoriés. La suppression de ces balises permet de nettoyer le HTML dans les champs de description en supprimant les balises HTML qui sont des sources d’attaques par injection HTML. Si cette propriété n’est pas définie dans la table Propriétés système [sys_properties], la valeur par défaut est une liste par défaut de balises HTML refusées. Si la propriété est vide, toutes les balises HTML sont autorisées.

Utilisez une sn_impact_common.blacklist_tags_HTML_injection liste de balises HTML séparées par des virgules qui sont supprimées des champs de description du module Impact Workspace. Cette suppression permet d’éviter les attaques par injection HTML. Cette liste doit contenir au minimum le contenu de la liste par défaut. Si la propriété n’est pas définie dans la table Propriétés système [sys_properties], elle est définie par défaut sur list script,iframe,object,embed,form,onerror,onload,style,img,video,audio,source,button.

En savoir plus


Attribut	Description
Nom de la propriété	sn_impact_common.blacklist_tags_HTML_injection
Type de configuration	Propriétés système (/sys_properties_list.do)
Catégorie	Validation, nettoyage et codage
Objectif	Nettoyez le code HTML dans les champs de description en supprimant les balises HTML qui sont des sources d’attaques par injection HTML.
Valeur recommandée	Au minimum, la valeur par défaut `script,iframe,object,embed,form,onerror,onload,style,img,video,audio,source,button`
Valeur par défaut	`script,iframe,object,embed,form,onerror,onload,style,img,video,audio,source,button`
Cote de risque de sécurité	4.4
Impact fonctionnel	Si une balise HTML est ajoutée à la liste par défaut, elle peut limiter la fonctionnalité HTML requise des champs de description. L’impact exact dépend de l’instance client.
Risque de sécurité	(Moyen)
Références	Paramètres de sécurité élevée

Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.