GlideSecurityUtils - スコープ指定、グローバル
GlideSecurityUtils API は、URL を操作するメソッドを提供します。
静的オブジェクト GlideSecurityUtils を使用して、これらのメソッドにアクセスします。このクラスは、スコープ付きスクリプトとグローバルスクリプトで使用できます。
GlideSecurityUtils - cleanURL (文字列 url)
不審なエンコーディングを削除して、リフレクトまたは DOM ベースのクロスサイトスクリプティングを防止します。
| 名前 | タイプ | 説明 |
|---|---|---|
| URL | 文字列 | 確認する URL。 |
| タイプ | 説明 |
|---|---|
| 文字列 | 問題要素が取り除かれた URL。 |
myurl='javascript%3Aalert(1)';
var clean=GlideSecurityUtils.cleanURL(myurl);
gs.info(clean);出力:null
GlideSecurityUtils - enforceRelativeURL (文字列 url)
URL からドメインアドレスを削除します。これにより、ページ名とパラメーターは残ります。
| 名前 | タイプ | 説明 |
|---|---|---|
| URL | 文字列 | 相対 URL に変換される URL。 |
| タイプ | 説明 |
|---|---|
| 文字列 | 相対 URL。 |
myurl='http://evildomain.com/test.do';
relativeURL=GlideSecurityUtils.enforceRelativeURL(myurl);
gs.info(relativeURL);出力:test.do
GlideSecurityUtils - escapeScript(文字列スクリプト)
スクリプトにエスケープ文字を追加します。
スクリプトにエスケープ文字を追加すると、クロスサイトスクリプティングを防ぐことができます。
| 名前 | タイプ | 説明 |
|---|---|---|
| スクリプト | 文字列 | エスケープ文字を追加するスクリプト。 |
| タイプ | 説明 |
|---|---|
| 文字列 | エスケープ文字が追加されたスクリプト。 |
theScript="<script> alert(1)</script>";
var escapedScript=GlideSecurityUtils.escapeScript(theScript);
gs.info(escapedScript);出力: <script> alert(1)</script>
GlideSecurityUtils - isURLWhiteListed(文字列 url)
指定された URL をシステム定義の許可リストと照合します。
| 名前 | タイプ | 説明 |
|---|---|---|
| URL | 文字列 | URL 許可リストと照合する URL。 |
| タイプ | 説明 |
|---|---|
| ブーリアン | 指定された URL が許可リスト内にある場合は true を返します。 |
myURL="http://evil.com/badscript.do";
isWhitelisted=GlideSecurityUtils.isURLWhiteListed(myURL);
gs.info(isWhitelisted);出力:false