テキストのサニタイズ

2023年4月現在、Brandfolderは、テキスト入力フィールドに対するテキストのサニタイズを強化し、クロスサイトスクリプティング攻撃のリスクを減らすためにセキュリティを向上させました。

なぜでしょうか。

クロスサイトスクリプティング攻撃は、善意のユーザーに深刻な損害を与える可能性があります。資産の説明やその他のテキスト入力に追加された悪意のあるリンクは、ユーザーデータや資産を盗み、プライベートなユーザー情報を公開し、ユーザーが気づかないうちに機密情報を表示することができます。

オープン・ワールドワイド・アプリケーション・セキュリティ・プロジェクト（OWASP）によると、「攻撃者はXSSを使用して、無防備なユーザーに悪意のあるスクリプトを送信できます。エンドユーザーのブラウザは、そのスクリプトが信頼できないものであるべきだと知ることができず、スクリプトを実行します。スクリプトが信頼できるソースから来たと考えるため、悪意のあるスクリプトは、ブラウザによって保持され、そのサイトで使用されるクッキー、セッショントークン、またはその他の機密情報にアクセスできます。これらのスクリプトは、HTMLページの内容を再構築することさえできます。」

堅牢で包括的なテキストのサニタイズソリューションは、これらの攻撃からあなたとあなたの資産を保護します。Brandfolder内の悪意のあるリンクの犠牲にならないことを保証します。これらの変更は、最高レベルのセキュリティを提供し、Brandfolderが健全で運用可能な状態を維持するために不可欠です。 

何が変わったのですか？

最も重要な影響は、アンカーリンクを追加できるHTML入力フィールドにあります。変更内容は次のとおりです：

• HTML入力フィールドは、信頼できるドメインのリストからのアンカーリンクのみを受け入れます。
• 受け入れられたリストにないリンクは、自動的にサニタイズまたは削除されます。

新しい基準を満たさない既存のHTMLアンカーリンクがある場合、それらはHTMLフィールドを更新するまで影響を受けません。HTMLフィールドを更新すると、以前の状態に戻すことはできず、Brandfolderはリンクをサニタイズまたは削除します。

基準を満たさない新しいHTMLリンクを追加しようとすると、できなくなります。

影響を受ける製品エリア

影響を受けるのはHTML入力フィールドで、ここにアンカーリンクを追加できます。影響を受ける領域には次のものが含まれます：

• 組織の説明 
• ブランドフォルダーの説明
• ポータルの説明
• コレクションのキャッチフレーズ
• ワークスペースのキャッチフレーズ
• アセットの説明は必須です
• 使用契約 

代替方法

• 既存のHTMLリンクを編集しないでください。それらをそのまま保持します。 
• ブランドフォルダーの表示ページのボタンを介してリンクを追加します。
• mailtoリンクを含めてください。
• 電話リンクを使用してください。 
• アセットモーダル内のアセットカードへのリンクを使用してください。 
• 標準ウェブサイトの多くのドメインは引き続きサポートされるため、アンカーリンクを挿入することを試みることができます。 
• ブランドフォルダーサポートまたは指定されたブランドフォルダーの連絡先に連絡して、ドメインをブランドフォルダーの許可リストに追加するようリクエストしてください。
• 相対リンクを使用してください。 
• URLをプレーンテキストとして貼り付けてください。例えば、