Limpador de Html (proteção de segurança da instância)

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Use a propriedade glide.html.sanitize_all_fields para habilitar a inclusão de script HTMLSanitizer, que limpa a entrada de HTML, de acordo com os atributos das listas de exclusões e de inclusões configuradas em um script.

    Os tipos de campo disponíveis com dicionário/campos incluem HTML e HTML traduzido. Esses campos de entrada HTML permitem que os usuários gravem entrada no formato HTML, por exemplo:

    <h1>Teste</h1>), usando os marcadores HTML mais básicos, como <img>, <a href …>e <iframe>.

    Isso pode abrir uma porta para que um invasor injete um vetor mal-intencionado com marcadores HTML, como:

    [<IMG SRC=" &#14; JavaScript:alert('XSS');">] [<IMG onmouseover="alert('xss')">], [a href="" onclick=alert (/xss/)].

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.html.sanitize_all_fields
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Configurar em Instance Security Center Sim
    Finalidade Prevenir ataques de script entre sites e injeção de HTML à aplicação
    Valor recomendado verdadeiro
    Impacto funcional (Alto) Esta correção impõe o mecanismo de codificação de saída HTML antes que os dados do usuário sejam renderizados de volta para o usuário. Se o cliente tiver alguma personalização que envolva a renderização do atributo HTML ou dos dados de conteúdo, haverá um impacto na funcionalidade.
    Risco à segurança (Alto) A entrada do usuário deve ser tratada com segurança quando os dados são armazenados e processados na aplicação. Isso reduz os ataques de script entre sites do lado do cliente ao codificar os dados de saída.
    Solução alternativa

    Esta propriedade limpa todos os campos HTML no sistema. Se você precisar habilitar a limpeza de HTML em campos individuais, consulte Habilitar a limpeza em campos individuais.

    Você também pode configurar a lista de inclusões ou de exclusões para limpar marcadores HTML e atributos de acordo com a política da sua organização.
    Referências

    Habilitar o limpador de HTML

    Limpador de HTML

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.