Gestor de configuración - Commerce - Protección contra la vulnerabilidad Cross Site Scripting

Nota: Para utilizar la característica de seguridad de protección contra la vulnerabilidad Cross Site Scripting, debe definir las vistas ProhibitedAttrsErrorView, ProhibitedCharacterErrorView y ProhibCharEncodingErrorView para la tienda.

El nodo de Protección contra la vulnerabilidad Cross Site Scripting del Gestor de configuración habilita o inhabilita dicha protección para la instancia. Cuando está habilitada, esta característica rechaza las peticiones de usuario que contienen atributos o series que se han designado como no permitidos. Puede especificar los atributos y las series inhabilitadas en este nodo del Gestor de configuración. También puede excluir mandatos de la Protección contra la vulnerabilidad Cross Site Scripting permitiendo que los valores de atributos específicos para ese mandato particular contengan series prohibidas. Por omisión, esta protección está inhabilitada.

Aviso: La protección contra la vulnerabilidad Cross Site Scripting es una característica restrictiva ya que restringe la ejecución de los mandatos basándose en la configuración. La característica no comprueba qué atributos o series se han definido como prohibidos, por lo que al configurarlas, asegúrese de que los atributos prohibidos no son los que utilizan los mandatos. Asegúrese también de que las series prohibidas no sean valores que se pasen normalmente a los mandatos. Configure esta característica con mucha precaución.

Pestaña General
Utilice la pestaña General para activar esta característica de protección pulsando Habilitar.Configure la característica completando las tablas siguientes:
Tabla Atributos prohibidos
Lista atributos que desea prohibir para mandatos de WebSphere Commerce. Para añadir atributos que desea inhabilitar para mandatos de WebSphere Commerce, pulse el botón derecho del ratón en la tabla Atributos prohibidos y seleccione Añadir fila.Escriba el atributo que desea inhabilitar.Sólo puede especificar un atributo por fila.Para eliminar atributos de la tabla Atributos prohibidos, resalte y pulse el botón derecho del ratón en la línea de la tabla que contiene el atributo y seleccione Suprimir fila.
Tabla Caracteres prohibidos
Lista series de caracteres que desea prohibir para mandatos de WebSphere Commerce. Para añadir series que desea inhabilitar para mandatos de WebSphere Commerce, pulse el botón derecho del ratón en la tabla Caracteres prohibidos y seleccione Añadir fila. Añada la serie que desea inhabilitar. Sólo puede especificar una serie por fila. Para eliminar caracteres de la tabla Caracteres prohibidos, resalte y pulse el botón derecho del ratón en la línea que contiene el carácter en la tabla Caracteres prohibidos y seleccione Suprimir fila.

Nota: Las series siguientes se especifican por omisión en los campos de caracteres prohibidos. Estas series se utilizan normalmente como códigos de script en los ataques malintencionados al sitio (Cross Site Scripting):

Pestaña Avanzadas
Utilice la pestaña Avanzadas para excluir mandatos de WebSphere Commerce de la Protección contra la vulnerabilidad Cross Site Scripting permitiendo que los valores de atributos específicos para ese mandato particular contengan series prohibidas.
Lista de mandatos
Lista los mandatos de WebSphere Commerce. Seleccione los mandatos a excluir de esta lista.Escriba una lista de atributos, separados por comas, para los que se permiten caracteres prohibidos en la ventana Lista de atributos excluidos y pulse Añadir  Para eliminar un mandato junto con sus atributos, seleccione el mandato en la ventana Lista de mandatos excluidos y pulse Eliminar. También puede eliminar atributos específicos de un mandato seleccionando el atributo y pulsando Eliminar.

Para aplicar los cambios en el Gestor de configuración, pulse Aplicar. Después de actualizar satisfactoriamente la configuración de su instancia, recibirá un mensaje indicando una actualización satisfactoria. Desde la Consola de administración de WebSphere Application Server, detenga la instancia de WebSphere Commerce Server y, a continuación, vuelva a iniciarla.

Notas:

Ejemplo: Observe los ejemplos siguientes:

Para obtener más información, consulte la sección sobre autenticación de la publicación WebSphere Commerce, Guía de seguridad.