Excel 計算式をエスケープ (Security Center 1.3 で更新)
glide.export.escape_formulas プロパティを使用して、Excel のインジェクション (式のインジェクションとも呼ばれる) を防止します。
Excel などのプログラム内の数式をエスケープすることで、ファイルをエクスポートして開いた後に、悪意のある可能性のある数式が実行されないようにします。Excel インジェクションは、Web サイトが Excel ファイル内に信頼できないエントリを埋め込むときに発生します。Microsoft Excel や LibreOffice Call などのスプレッドシートアプリケーションを使用してファイルを開く場合、+、-、=、または @ で始まるセルは、適切にエスケープされない限り、式として解釈されます。悪意のある数式は、スプレッドシートに機密情報が含まれていない場合でも、コード実行を通じて閲覧者のコンピューターを侵害するために使用される可能性があるため、リスクをもたらします。
glide.export.escape_formulas システムプロパティを true に設定して、これらの数式が実行されないようにします。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.export.escape_formulas |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | アプリケーションで Excel インジェクションまたは式のインジェクションを防止すること |
| 推奨値 | true |
| デフォルト値 | false |
| セキュリティリスク評価 | 6.4 |
| 機能への影響 | 悪意を持って細工された数式は、スプレッドシートソフトウェアの脆弱性を悪用してユーザーのコンピューターを乗っ取るために使用される可能性があります。 |
| セキュリティリスク | (中) 悪意のある式は、閲覧者のコンピューターの侵害に使用される可能性があるため、埋め込みスプレッドシートに機密情報が含まれていない場合であってもリスクを引き起こします。 |
| ワークアラウンド | 代替手段として、可能な場合はすべての末尾の空白を削除し、クライアントが提供するすべてのデータを英数字のみに制限することを検討してください。 |
| 参照 | 利用可能なシステムプロパティ |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。