Gestore Configurazione - Protezione di script di sito incrociata

Utilizzare il nodo Protezione di script di sito incrociata del Gestore Configurazione per abilitare o disabilitare la funzione di protezione di script di sito incrociata. Quando abilitata, questa funzione respinge ogni richiesta dell'utente che contiene stringhe o attributi non consentiti. E' possibile specificare le stringhe e gli attributi non consentiti per questo nodo  del Gestore Configurazione. E' anche possibile escludere dei comandi dalla protezione di script del sito consentendo i valori degli attributi specificati per quel particolare comando per contenere stringhe non consentite.  La funzione Protezione di script di sito incrociata è disabilitata per impostazione predefinita.

Attenzione: la protezione di script di sito incrociata è una funzione restrittiva con la quale vengono limitate le esecuzioni dei comandi in base alla configurazione. La funzione non controlla gli attributi o le stringhe definiti come non consentiti, per cui durante la configurazione, verificare che gli attributi non consentiti non siano quelli utilizzati dal comando. Verificare anche che le stringhe non consentite non siano valori solitamente inoltrati ai comandi. Procedere con attenzione nella configurazione di questa funzione.

Per abilitare questa funzione:

  1. Richiamare il Gestore Configurazione e percorrere il nodo Protezione di script di sito incrociata per l'istanza come segue:
    WebSphere Commerce > host_name > Elenco di istanze > instance_name > Proprietà istanza > Protezione di script di sito incrociata
  2. Utilizzare la scheda Generale per attivare la funzione di protezione di script di sito come segue: 
    1. Fare clic su Abilita.
    2. Per aggiungere gli attributi che si desidera vietare per i comandi di WebSphere Commerce, fare clic con il pulsante destro del mouse sulla tabella Attributi non consentiti e selezionare Aggiungi riga.  Aggiungere gli attributi che si desiderano vietare. E' possibile specificare solo un attributo per riga. 
    3. Per rimuovere gli attributi dalla tabella Attributi non consentiti, evidenziare e fare clic con il pulsante destro del mouse sulla riga che contiene  l'attributo nella tabella e selezionareCancella riga.
    4. Per aggiungere le stringhe che si desiderano vietare per i comandi di WebSphere Commerce, fare clic con il pulsante destro del mouse sulla tabella Caratteri non consentiti e selezionare Aggiungi riga.  Aggiungere la stringa che si desidera vietare. E' possibile specificare una sola stringa per riga.
    5. Per rimuovere i caratteri dalla tabella Caratteri non consentiti, evidenziare e fare clic con il pulsante destro del mouse sulla riga che contiene il carattere nella tabella  Caratteri non consentiti e selezionare Cancella riga.

    Nota: le seguenti stringhe sono specificate per impostazione predefinita nei campi dei caratteri non consentiti. Queste stringhe vengono comunemente utilizzate come tag di script in attacchi agli script di sito incrociati:

  3. Utilizzare la scheda Avanzate per escludere dei comandi WebSphere Commerce dalla protezione di script del sito incrociata consentendo i valori degli attributi specificati per quel particolare comando per contenere i valori non consentiti nel modo seguente:
    1. Selezionare i comandi dalla casella Elenco di Comandi. 
    2. Immettere un elenco di attributi, separati da virgole,  per i quali i caratteri non consentiti sono consentiti nella Finestra Elenco di Attributi esclusi e fare clic suAggiungi
    3. Per rimuovere un comando insieme ai relativi attributi, selezionare il comando dalla finestra Elenco di Comandi esclusi e fare clic su Rimuovi

    E' possibile anche rimuovere attributi particolari da un comando selezionando l'attributo e 
    facendo clic su Rimuovi.

  4. Per applicare le proprie modifiche al Gestore configurazione, fare clic su Applica.
  5. Quando l'aggiornamento della configurazione dell'istanza è riuscito, si riceverà un messaggio che indica che l'aggiornamento è riuscito.
  6. Dalla Console di gestione di WebSphere Application Server, arrestare e poi riavviare l'istanza di WebSphere Commerce Server.

Note:

Esempio: Considerare i seguenti esempi:

 

Attività correlate

Riferimento correlato

IBM copyright