HTML 위생 검사 사용 [보안 센터 1.3에서 업데이트됨]
이 속성을 사용하여 glide.html.sanitize_all_fields 스크립트에 구성된 제외 목록 및 포함 목록 속성을 기반으로 HTML 입력을 삭제하는 HTMLSanitizer 스크립트 포함을 활성화합니다.
사전/필드에서 사용할 수 있는 필드 유형에는 HTML 및 번역된 HTML이 포함됩니다. 이러한 HTML 입력 필드를 사용하면 사용자가 HTML 형식의 입력을 작성할 수 있습니다. 예를 들어
, <a href …>, <iframe>및 와 같은 <img>가장 기본적인 HTML 태그를 사용하여 <h1>테스트</h1>합니다.
악의적인 공격자가 악의적인 벡터에 다음과 같은 HTML 태그를 삽입할 수 있는 문을 열 수 있습니다.
[<IMG SRC="  JavaScript:alert('XSS');">][],<IMG onmouseover="alert('xss')">[a href="" onclick=alert(/xss/)].
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.html.sanitize_all_fields |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 확인, 위생 및 인코딩 |
| 목적 | 교차 사이트 스크립팅 및 HTML 주입 공격으로부터 애플리케이션을 방지합니다. |
| 권장 값 | 예 |
| 기본값 | 예 |
| 보안 위험 등급 | 8.8 |
| 기능적 영향 | 이렇게 정정하면 사용자 데이터가 사용자에게 다시 렌더링되기 전에 HTML 출력 인코딩 메커니즘을 적용합니다. 고객이 HTML 속성 또는 컨텐츠 데이터의 렌더링과 관련된 커스터마이제이션을 사용하는 경우 기능에 영향을 미칩니다. |
| 보안 위험 | (높음) 애플리케이션에서 데이터가 저장되고 처리될 때 사용자 입력을 안전하게 처리해야 합니다. 이렇게 하면 데이터를 출력으로 인코딩하여 클라이언트 측 교차 사이트 스크립팅 공격을 줄일 수 있습니다. |
| 임시 해결책 | 이 속성은 시스템의 모든 HTML 필드를 삭제합니다. 개별 필드에서 HTML 정리를 사용하도록 설정해야 하는 경우 개별 필드에서 정리 사용 설정을 참조하세요. 조직 정책에 따라 HTML 태그와 속성을 삭제하도록 포함 목록 또는 제외 목록을 구성할 수도 있습니다. |
| 참조 |
시스템 속성 추가 또는 작성에 대한 자세한 내용은 다음 문서를 참조하십시오 Add a system property.