К тексту на этой странице мог быть частично применён машинный перевод.

Санация текста

Brandfolder использует санацию текста в полях ввода, чтобы снизить риск атак межсайтового скриптинга. 

Доступно для:

Планы:

  • Brandfolder

Разрешения:

Sanitization applies to all Brandfolder user types, Owners, Administrators, Collaborators, and Guests. 

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

С апреля 2023 года Brandfolder улучшил свою безопасность, чтобы включить лучшую санацию текста в полях ввода, чтобы снизить риск атак межсайтового скриптинга.

Почему?

Атаки межсайтового скриптинга могут серьезно повредить добросовестным пользователям. Зловредные ссылки, добавленные в описания активов или другие текстовые поля, могут украсть данные пользователей и активы, опубликовать личную информацию пользователей и просмотреть конфиденциальную информацию без ведома пользователя.

Согласно Open Worldwide Application Security Project (OWASP), "Злоумышленник может использовать XSS, чтобы отправить вредоносный скрипт ничего не подозревающему пользователю. Браузер конечного пользователя не может знать, что скрипт не должен быть доверен, и выполнит скрипт. Поскольку он считает, что скрипт пришел из доверенного источника, вредоносный скрипт может получить доступ к любым куки, токенам сеанса или другой конфиденциальной информации, хранящейся в браузере и используемой с этим сайтом. Эти скрипты могут даже переписывать содержимое HTML-страницы.”

Надежное и комплексное решение по санации текста защищает вас и ваши активы от этих атак. Оно гарантирует, что вы не станете жертвой зловредных ссылок в Brandfolder. Эти изменения необходимы для обеспечения вам самого высокого уровня безопасности и гарантии того, что Brandfolder остается здоровым и работоспособным. 

Что изменилось?

Наибольшее влияние оказано на поля ввода HTML, где вы можете добавлять якорные ссылки. Изменения включают:

  • Поля ввода HTML принимают только якорные ссылки из списка доверенных доменов.
  • Когда ссылка не находится в принятом списке, она автоматически санируется или удаляется.

Если у вас есть существующие якорные ссылки HTML, которые не соответствуют новым стандартам, они не будут затронуты, пока вы не обновите поле HTML. После обновления поля HTML вы не сможете вернуть его в предыдущее состояние, и Brandfolder санирует или удалит ссылку.

Если вы попытаетесь добавить новые HTML-ссылки, которые не соответствуют стандартам, вы не сможете этого сделать.

Затронутые области продукта

Затронутая область - это поля ввода HTML, где вы можете добавлять ссылки-якоря. Затронутые области включают:

  • Описание организации 
  • Описание Brandfolder
  • Описание портала
  • Слоганы коллекции
  • Слоганы рабочего пространства
  • Требуется описание актива
  • Соглашения об использовании 

Альтернативные методы

  • Не редактируйте существующие HTML-ссылки, чтобы сохранить их в целостности. 
  • Добавляйте ссылки через кнопки на странице показа Brandfolder.
  • Включите ссылки mail-to.
  • Используйте телефонные ссылки. 
  • Используйте ссылку на карточку актива в модальном окне актива. 
  • Много доменов для стандартных веб-сайтов все еще будет поддерживаться, поэтому вы можете попытаться вставить их ссылки-якоря. 
  • Запросите добавление вашего домена в белый список Brandfolder, связавшись с поддержкой Brandfolder или вашим назначенным контактом Brandfolder.
  • Используйте относительные ссылки. 
  • Вставьте URL в виде простого текста. Например, вместо того чтобы набирать