Gestionnaire de configuration - Protection des scripts intersite

Utilisez le noeud Protection des scripts intersite du Gestionnaire de configuration pour activer ou désactiver la fonction de protection des scripts intersite. Lorsqu'elle est activée, cette fonction rejette toutes les demandes de l'utilisateur contenant des attributs ou des chaînes déclarés comme non admissibles. Vous pouvez préciser ces attributs ou chaînes dans ce noeud du Gestionnaire de configuration. Vous pouvez également exclure des instructions de la fonction de protection des scripts intersite en autorisant les valeurs des attributs spécifiés pour cette instruction donnée à contenir des chaînes non admises.  La fonction Protection des scripts intersite est désactivée par défaut.

Avertissement : La protection des scripts intersite est une fonction limitative car elle va restreindre l'exécution d'instructions basées sur la configuration. Cette fonction ne vérifie pas quels attributs ou chaînes ont été interdits. Par conséquent, lorsque vous la configurez, assurez-vous que les attributs interdits ne sont pas utilisés par les instructions. Vérifiez également que les chaînes interdites ne sont pas des valeurs qui sont généralement transmises aux instructions. Soyez extrêmement attentifs lors de la configuration de cette fonction.

Pour activer cette fonction, procédez comme suit :

  1. Démarrer le Gestionnaire de paiement et déplacez-vous jusqu'au noeud Protection de scripts intersite de votre instance, comme indiqué ci-après :
    WebSphere Commerce > nom_hôte > Liste des instances > nom_instance > Propriétés de l'instance > Protection des scripts intersite
  2. Utilisez l'onglet Généralités pour activer la fonction de protection des scripts intersite, en procédant comme suit: 
    1. Cliquez sur Activer.
    2. Pour ajouter des attributs que vous souhaitez interdire dans les instructions de WebSphere Commerce, cliquez à l'aide du bouton droit de la souris sur la table des attributs interdits et sélectionnez Ajouter ligne.  Ajoutez l'attribut que vous souhaitez interdire. Vous pouvez indiquer uniquement un attribut par ligne. 
    3. Pour supprimer des attributs de la table des attributs interdits, sélectionnez la ligne contenant  l'attribut dans la table et cliquez dessus à l'aide du bouton droit de la souris, puis sélectionnez Supprimer ligne.
    4. Pour ajouter des chaînes que vous souhaitez interdire dans les instructions de WebSphere Commerce, cliquez à l'aide du bouton droit de la souris sur la table des caractères interdits et sélectionnez Ajouter ligne.  Ajoutez les caractères que vous souhaitez interdire. Vous ne pouvez indiquer qu'une chaîne par ligne.
    5. Pour supprimer des caractères de la table des attributs interdits, sélectionnez la ligne contenant le caractère  dans la table des caractères interdits et cliquez dessus à l'aide du bouton droit de la souris, puis sélectionnez Effacer ligne.

    Remarque : les chaînes suivantes sont spécifiées par défaut dans les zones de définition de caractères interdits. Ces chaînes sont le plus souvent utilisées comme marque de scriptage lors d'attaques de scriptage intersite :

  3. L'onglet Avancé vous permet d'exclure les instructions WebSphere Commerce de la fonction de protection intersite en autorisant les valeurs des attributs spécifiés pour cette instruction donnée à contenir des chaînes non admises. Pour ce faire, procédez comme suit :
    1. Sélectionnez les instructions dans la zone Liste des commandes. 
    2. Saisissez une liste d'attributs, séparés par des virgules,  pour lesquels les caractères interdits sont autorisés dans la fenêtre Liste des attributs exclus et cliquez sur Ajouter
    3. Pour supprimer une instruction avec ses attributs, sélectionnez l'instruction dans la fenêtre Liste des commandes exclues et cliquez sur Supprimer

    Vous pouvez également supprimer des attributs spécifiques d'une instruction en sélectionnant l'attribut et 
    en cliquant sur Supprimer.

  4. Pour valider vos modifications dans le Gestionnaire de configuration, cliquez sur Valider.
  5. Si la mise à jour de la configuration de votre instance est réussie, vous recevrez un message indiquant une mise à jour réussie.
  6. A partir de la console d'administration WebSphere Application Server, arrêtez puis redémarrer l'instance WebSphere Application Server.

Remarques :

Exemple : Regardez les exemples suivants :

 

Tâches connexes

Références connexes

IBM copyright