Escapar de HTML em exibições de lista

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Use a propriedade glide.ui.escape_html_list_field para forçar escapes de HTML para campos HTML em uma exibição de lista.

    HTML é um dos tipos que podem ser atribuídos aos campos de dicionário. A atribuição de campos HTML a qualquer tipo de campo fornece a funcionalidade para formatar conteúdo usando códigos HTML (por exemplo, <p>, <a href>, <b>, <font>, <img>). Um usuário mal-intencionado pode injetar código HTML no campo de formulário para executar scripts indesejados em diferentes sessões de cliente/usuário.
    • Defina esta propriedade como falsa para executar um escape de HTML antes que os registros/campos sejam renderizados no navegador quando a tabela aparecer como uma exibição de lista.
    • Se estiver definida como verdadeira e você selecionar essa coluna em uma exibição de lista ao exibir uma tabela ou lista de registros, esses campos em formato HTML poderão ser exibidos.
    Aviso:
    Esta é uma propriedade tipo porto seguro, o que significa que o valor não pode ser alterado após ser mudado. A reversão não é possível.

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.ui.escape_html_list_field
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Categoria Validação, limpeza e codificação
    Finalidade Prevenir ataques de script entre sites à aplicação.
    Valor recomendado falso
    Classificação de risco de segurança 8,8
    Impacto funcional (Médio) Esta correção impõe a codificação de HTML na IU no nível de analisador HTML e, então, renderiza os resultados codificados para o usuário. Ela pode ter um impacto na funcionalidade com base na interação do usuário da instância com os dados resultantes.
    Risco à segurança (Alto) A validação de entrada deve ocorrer na aplicação para defesa contra ataques de script entre sites. Esses ataques permitem que scripts externos sejam executados nas sessões do usuário no contexto do navegador conectado. Os invasores podem usá-los para roubar informações da sessão e dados confidenciais.
    Referências

    Configurações de Alta Segurança

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.