Gestor de configuración - Protección contra la vulnerabilidad Cross Site Scripting

Utilice el nodo de Protección contra la vulnerabilidad Cross Site Scripting del Gestor de configuración para habilitar o inhabilitar la característica de dicha protección. Cuando está habilitada, esta característica rechaza las peticiones de usuario que contienen atributos o series que se han designado como no permitidos. Puede especificar los atributos y las series inhabilitadas en este nodo del Gestor de configuración. También puede excluir mandatos de la protección contra la vulnerabilidad Cross Site Scripting permitiendo que los valores de atributos específicos para ese mandato particular contengan series prohibidas.  Por omisión, esta característica está inhabilitada.

Aviso: La protección contra la vulnerabilidad Cross Site Scripting es una característica restrictiva ya que limita la ejecución de los mandatos basándose en la configuración. La característica no comprueba los atributos o series que se han definido como prohibidas, por lo que al configurarlas, asegúrese de que los atributos prohibidos no son los que utilizan los mandatos. Asegúrese también de que las series prohibidas no sean valores que se pasen normalmente a los mandatos. Configure esta característica con mucha precaución.

Para habilitar esta característica:

  1. Invoque el Gestor de configuración y vaya al nodo de Protección contra la vulnerabilidad Cross Site Scripting para su instancia, de la forma siguiente:
    WebSphere Commerce > nombre_sistpral > Lista de instancias > nombre_instancia > Propiedades de la instancia > Protección contra la vulnerabilidad Cross Site Scripting
  2. Utilice la pestaña General para activar esta característica, de la manera siguiente: 
    1. Pulse Habilitar.
    2. Para añadir atributos que desea inhabilitar para mandatos de WebSphere Commerce, pulse el botón derecho del ratón en la tabla Atributos prohibidos y seleccione Añadir fila.  Escriba los atributos que desee inhabilitar. Sólo puede especificar un atributo por fila. 
    3. Para eliminar atributos de la tabla Atributos prohibidos, resalte y pulse el botón derecho del ratón en la línea que contiene el atributo en la tabla y seleccione Suprimir fila.
    4. Para añadir series que desea inhabilitar para mandatos de WebSphere Commerce, pulse el botón derecho del ratón en la tabla Caracteres prohibidos y seleccione Añadir fila.  Añada la serie que desee inhabilitar. Sólo puede especificar una serie por fila.
    5. Para eliminar caracteres de la tabla Caracteres prohibidos, resalte y pulse el botón derecho del ratón en la línea que contiene el carácter en la tabla Caracteres prohibidos y seleccione Suprimir fila.

    Nota: Las series siguientes se especifican por omisión en los campos de caracteres prohibidos. Estas series se utilizan normalmente como códigos de script en los ataques malintencionados al sitio (Cross Site Scripting):

  3. Utilice la pestaña Avanzada para excluir mandatos de WebSphere Commerce de la Protección contra la vulnerabilidad Cross Site Scripting permitiendo que los valores de atributos específicos para ese mandato particular contengan series prohibidas. Para ello:
    1. Seleccione los mandatos en el cuadro Lista de mandatos. 
    2. Escriba una lista de atributos, separados por comas,  para los que se permiten caracteres prohibidos en la ventana Lista de atributos excluidos y pulse Añadir
    3. Para eliminar un mandato junto con sus atributos, seleccione el mandato en la ventana Lista de mandatos excluidos y pulse Eliminar

    También puede eliminar atributos específicos de un mandato seleccionando el atributo y pulsando Eliminar.

  4. Para aplicar los cambios en el Gestor de configuración, pulse Aplicar.
  5. Después de actualizar satisfactoriamente la configuración de su instancia, recibirá un mensaje indicando una actualización satisfactoria.
  6. Desde la Consola de administración de WebSphere Application Server, detenga la instancia de WebSphere Commerce Server y, a continuación, vuelva a iniciarla.

Notas:

Ejemplo: Observe los ejemplos siguientes:

 

Tareas relacionadas

Referencia relacionada

Copyright de IBM