Nota: Para utilizar la característica de seguridad de protección contra la vulnerabilidad Cross Site Scripting, debe definir las vistas ProhibitedAttrsErrorView, ProhibitedCharacterErrorView y ProhibCharEncodingErrorView para la tienda.
El nodo de Protección contra la vulnerabilidad Cross Site Scripting del Gestor de configuración habilita o inhabilita dicha protección para la instancia. Cuando está habilitada, esta característica rechaza las peticiones de usuario que contienen atributos o series que se han designado como no permitidos. Puede especificar los atributos y las series inhabilitadas en este nodo del Gestor de configuración. También puede excluir mandatos de la Protección contra la vulnerabilidad Cross Site Scripting permitiendo que los valores de atributos específicos para ese mandato particular contengan series prohibidas. Por omisión, esta protección está inhabilitada.
Aviso: La protección contra la vulnerabilidad Cross Site Scripting es una característica restrictiva ya que restringe la ejecución de los mandatos basándose en la configuración. La característica no comprueba qué atributos o series se han definido como prohibidos, por lo que al configurarlas, asegúrese de que los atributos prohibidos no son los que utilizan los mandatos. Asegúrese también de que las series prohibidas no sean valores que se pasen normalmente a los mandatos. Configure esta característica con mucha precaución.
- Pestaña General
- Utilice la pestaña General para activar esta característica de protección pulsando Habilitar.Configure la característica completando las tablas siguientes:
- Tabla Atributos prohibidos
- Lista atributos que desea prohibir para mandatos de WebSphere Commerce. Para añadir atributos que desea inhabilitar para mandatos de WebSphere Commerce, pulse el botón derecho del ratón en la tabla Atributos prohibidos y seleccione Añadir fila.Escriba el atributo que desea inhabilitar.Sólo puede especificar un atributo por fila.Para eliminar atributos de la tabla Atributos prohibidos, resalte y pulse el botón derecho del ratón en la línea de la tabla que contiene el atributo y seleccione Suprimir fila.
- Tabla Caracteres prohibidos
- Lista series de caracteres que desea prohibir para mandatos de WebSphere Commerce. Para añadir series que desea inhabilitar para mandatos de WebSphere Commerce, pulse el botón derecho del ratón en la tabla Caracteres prohibidos y seleccione Añadir fila. Añada la serie que desea inhabilitar. Sólo puede especificar una serie por fila. Para eliminar caracteres de la tabla Caracteres prohibidos, resalte y pulse el botón derecho del ratón en la línea que contiene el carácter en la tabla Caracteres prohibidos y seleccione Suprimir fila.
Nota: Las series siguientes se especifican por omisión en los campos de caracteres prohibidos. Estas series se utilizan normalmente como códigos de script en los ataques malintencionados al sitio (Cross Site Scripting):
- "<SCRIPT"
- "<SCRIPT"
- "<%" y "<%"
- Pestaña Avanzadas
- Utilice la pestaña Avanzadas para excluir mandatos de WebSphere Commerce de la Protección contra la vulnerabilidad Cross Site Scripting permitiendo que los valores de atributos específicos para ese mandato particular contengan series prohibidas.
- Lista de mandatos
- Lista los mandatos de WebSphere Commerce. Seleccione los mandatos a
excluir de esta lista.Escriba una lista de atributos, separados por
comas, para los que se permiten caracteres prohibidos en la ventana
Lista de atributos excluidos y pulse Añadir Para eliminar un
mandato junto con sus atributos, seleccione el
mandato en la ventana Lista de mandatos excluidos y pulse
Eliminar. También puede
eliminar atributos específicos de
un mandato seleccionando el atributo y pulsando Eliminar.
Para aplicar los cambios en el Gestor de configuración, pulse Aplicar. Después de actualizar satisfactoriamente la configuración de su instancia, recibirá un mensaje indicando una actualización satisfactoria. Desde la Consola de administración de WebSphere Application Server, detenga la instancia de WebSphere Commerce Server y, a continuación, vuelva a iniciarla.
Notas:
- Cuando se excluyen mandatos de la protección contra la vulnerabilidad Cross Site Scripting, los valores de los atributos especificados se codificarán utilizando la codificación HTML de símbolos.Por ejemplo, el mandato "cmd1?user=<Thomas>" se codifica como "cmd1?user=<Thomas>"
- Cuando especifique la serie en los campos de caracteres
prohibidos, tenga en cuenta que:
- Una secuencia específica de caracteres puede hacer que una serie se convierta en un solo carácter, de acuerdo con las normas de codificación URL. Por ejemplo, la serie "<%bb" se convertiría en una serie "<X" donde X es un solo carácter que tiene un valor de representación hexadecimal de HEX 'bb' (decimal 187). En este caso, la serie "<%bb" no sería detectada por la protección contra la vulnerabilidad Cross Site Scripting si se pasara en un URL.
- Una secuencia específica de caracteres puede hacer que falle la conversión de una serie si no satisface las normas de codificación URL. Por ejemplo, la serie "<%gg" haría que la conversión fallara puesto que HEX 'gg' no es una representación válida de valor hexadecimal. En este caso, la serie "<%gg" provocaría una excepción, causando la no respuesta de la petición de URL que tuviera esa serie, tanto si la protección contra la vulnerabilidad Cross Site Scripting estuviera habilitada como si no.
Ejemplo: Observe los ejemplos siguientes:
- Series prohibidas: "<SCRIPT", "<%"
Atributos prohibidos: mycomment, description
Mandato Estado cmd1?description=Available ... rechazado cmd2?userid=Thomas... aceptado cmd3?mycomment=<SCRIPT>... rechazado cmd4?password=<%...%>... rechazado - Si desea permitir que el atributo "text" del mandato cmd1 pueda
contener series prohibidas ("<SCRIPT", "<%"),
y no en el caso de otros atributos como, por ejemplo,
el atributo "txt", puede excluir cmd1 y especificar "text" como el
atributo excluido.
Mandato Estado cmd1?text=<SCRIPT>... aceptado cmd1?text=<%...%>... aceptado cmd1?txt=<SCRIPT>... rechazado cmd1?txt=<%..%>... rechazado
Para obtener más información, consulte la sección sobre autenticación de la publicación WebSphere Commerce, Guía de seguridad.