Herunterladbare MIME-Typen beschränken [aktualisiert in Security Center 1,3 und 2,0]

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Die glide.ui.attachment.download_mime_typesDie Eigenschaft erzwingt, dass die angegebene Liste gefährlicher Dateitypen auf den Client heruntergeladen und nicht inline im Browser angezeigt wird.

    Wenn die Eigenschaft ist glide.ui.attachment.force_download_all_mime_typesIst auf „wahr“ festgelegt, dann die glide.ui.attachment.download_mime_typesEigenschaft wird überschrieben, sodass alle MIME-Typen heruntergeladen und nicht vom Browser gerendert werden. Zum Beispiel erzwingt das Herunterladen von Text/HTML, dass eine HTML-Datei als Datei auf den Client heruntergeladen und nicht inline im Browser angezeigt wird, um einen XSS-Angriff zu verhindern. XSS kann zu einer einfachen Berechtigungseskalation an höhere Rollen wie Administrator führen, in denen mehr seitliche Bewegungen erfolgen können.

    Neue Korrektur: Stellen Sie die Eigenschaft sicher glide.ui.attachment.force_download_all_mime_typesIst auf „wahr“ festgelegt. Wenn die Eigenschaft in der Tabelle „sys_properties“ nicht vorhanden ist, ist der Standardwert „falsch“.

    Hinweis:
    Die Rolle Security_admin ist erforderlich, um die Eigenschaft zu bearbeiten.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.ui.attachment.download_mime_types
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Wenn Sie die Liste gefährlicher Dateitypen ordnungsgemäß verwalten, die nicht im Browser angezeigt werden können, werden Cross Site Scripting-Angriffe (XSS) verhindert.
    Empfohlener Wert Liste der anwendbaren MIME-Typen oder des empfohlenen Werts: Text/html,image/svg,image/svg+xml,Application/xml
    Standardwert Liste der anwendbaren MIME-Typen für den Standardwert: Text/html,image/svg,image/svg+xml,Application/xml
    Konfigurationstyp Zeichenfolge: Beliebige kommagetrennte Werte von Anwendungs-MIME-Typen.
    Funktionale Auswirkung Diese Korrektur erzwingt die Durchführung von Validierungsprüfungen, bevor eine Aktion ausgeführt wird, wenn Sie auf einen Anhang in klicken ServiceNow AI Platform Anwendung. Es gibt keine potenziellen Auswirkungen, aber die Anwender-Experience wird geändert.
    Sicherheitsrisiko (Mittel) Angreifer können MIME-Typen missbrauchen und unbeabsichtigte Skriptinhalte im Anhang auf der Seite des Opfers platzieren, um vertrauliche Informationen zu erfassen. Die Fähigkeit, XSS zu verwenden, kann zu einer einfachen Berechtigungseskalation zu höheren Rollen wie Administrator führen, wo mehr seitliche Bewegungen durchgeführt werden können.

    Füllen Sie die Eigenschaft im aktuellen Kontext mit einer Liste von kommagetrennten Anhang-MIME-Typen aus, die im Browser nicht inline gerendert werden sollen.
    Sicherheitsrisikobewertung 6,4
    Zugehörige Eigenschaften
    • glide.ui.attachment.force_download_all_mime_types
    • glide.ui.attachment.tables_ignore_force_download
    Referenzen Eingeschränkte herunterladbare MIME-Typen definieren [aktualisiert in Security Center 1,3, 1,5 und 2,0].