HTML 위생 검사 사용 [Security Center 1.3에서 업데이트됨]
이 glide.html.sanitize_all_fields 속성을 사용하여 스크립트에 구성된 제외 목록 및 포함 목록 속성을 기반으로 HTML 입력을 삭제하는 HTMLSanitizer 스크립트 포함을 활성화합니다.
사전/필드에서 사용할 수 있는 필드 유형에는 HTML 및 번역된 HTML이 포함됩니다. 이러한 HTML 입력 필드를 사용하여 사용자는 다음과 같은 HTML 형식의 입력을 쓸 수 있습니다.
<h1>,</h1><a href …> 및 <iframe>와 같은 <img>가장 기본적인 HTML 태그를 사용하여 테스트합니다.
악의적인 공격자가 다음과 같은 HTML 태그를 악성 벡터에 삽입할 수 있는 문을 열 수 있습니다.
[<IMG SRC="  JavaScript:alert('XSS');">][<IMG onmouseover="alert('xss')">],[a href="" onclick=alert(/xss/)]입니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.html.sanitize_all_fields |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 확인, 삭제 및 인코딩 |
| 목적 | 교차 사이트 스크립팅 및 HTML 삽입 공격으로부터 애플리케이션을 방지합니다. |
| 권장 값 | 예 |
| 기본값 | 예 |
| 보안 위험 등급 | 8.8 |
| 기능적 영향 | 이렇게 정정하면 사용자 데이터가 사용자에게 다시 렌더링되기 전에 HTML 출력 인코딩 메커니즘을 적용합니다. 고객이 HTML 속성 또는 컨텐츠 데이터의 렌더링과 관련된 커스터마이제이션을 사용하는 경우 기능에 영향을 미칩니다. |
| 보안 위험 | (높음) 사용자 입력은 애플리케이션에서 데이터를 저장하고 처리할 때 안전하게 처리되어야 합니다. 이렇게 하면 데이터를 출력 인코딩하여 클라이언트 측 교차 사이트 스크립팅 공격을 줄일 수 있습니다. |
| 임시 해결책 | 이 속성은 시스템의 모든 HTML 필드를 정리합니다. 개별 필드에서 HTML 삭제를 활성화해야 하는 경우 개별 필드에서 삭제 사용을 참조하세요. 조직 정책에 따라 HTML 태그와 속성을 삭제하도록 포함 목록 또는 제외 목록을 구성할 수도 있습니다. |
| 참조 |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 문서를 참조하십시오 Add a system property.