이스케이프 XML 마크업 [Security Center 1.3에서 업데이트됨]

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기2분

    • glide.ui.escape_text 속성을 사용하여 파서 수준에서 XML 값을 강제로 이스케이프한 후 클라이언트의 브라우저로 전송합니다.

    교차 사이트 스크립팅은 공격자가 진입점에 악성 JavaScript를 삽입할 때 발생합니다. 플랫폼/애플리케이션은 실행을 위해 피해자의 브라우저로 전송하기 전에 악성 JavaScript를 이스케이프하지 못합니다. 이 맥락에서 이스케이프는 다음을 의미합니다.
    • & --> &
    • < --> <
    • > --> >
    • " --> "
    • ' --> '
    • / --> /

    예: <![CDATA[<script>alert('XSS Attack');]]>

    이스케이프 : <script>alert ( 'XSS 공격'); </스크립트>

    glide.ui.escape_text 속성이 sys_properties 테이블에 있고 true로 설정되어 있는지 확인합니다.

    경고:
    이는 세이프 하버 속성이므로 한 번 변경하면 값을 변경할 수 없습니다. 되돌릴 수 없습니다.

    추가 정보

    속성 설명
    속성 이름 glide.ui.escape_text
    구성 유형 시스템 속성(/sys_properties_list.do)
    범주 확인, 삭제 및 인코딩
    목적 이스케이프 XML을 사용하면 브라우저가 신뢰할 수 없는 데이터에 포함된 악성 JavaScript를 구문 분석하여 JavaScript로 실행하지 않습니다.
    • 악의적인 사용자는 XSS 공격을 시도하여 다른 사용자의 세션을 가로채거나 사용자를 악성 웹 사이트로 리디렉션할 수 있습니다.
    • NOW Platform에는 쿠키를 보호하는 코드가 포함되어 있지만, 이 코드를 이스케이프하려면 이 속성이 true로 설정되어 있어야 합니다.
    권장 값
    보안 위험 등급 8.8
    기능적 영향 이렇게 정정하면 UI의 XML 파서 수준에서 XML 인코딩이 적용됩니다. 인코딩된 결과를 사용자에게 렌더링하며, 결과 데이터에 대한 인스턴스 사용자의 상호작용에 따라 기능에 영향을 미칠 수 있습니다.
    보안 위험 (높음) 교차 사이트 스크립팅 공격을 방어하기 위해 애플리케이션에서 입력 유효성 검사가 수행되어야 합니다. 이러한 공격을 통해 외부 스크립트가 로그인된 브라우저의 컨텍스트에서 사용자 세션에 실행될 수 있습니다. 공격자는 이를 사용하여 세션 정보와 중요한 데이터를 훔칠 수 있습니다.
    임시 해결책

    이 속성을 true로 설정하면 카탈로그 항목 설명이나 카탈로그 항목 변수 도움말 텍스트의 HTML 태그에서 렌더링이 중지됩니다. 일부 필드에는 HTML 서식을 사용하지 못할 수 있습니다.

    그러나 glide.ui.escape_text 속성이 해제되면 모든 JEXL 표현식에 출력 인코더 접두사가 붙습니다.

    ${JS:표현식}

    ${HTML:표현식}

    또는

    ${JS,HTML:표현식}