Herunterladbare MIME-Typen einschränken [Aktualisiert in Security Center 1.3 und 2.0]

  • Freigeben Version: Yokohama
  • Aktualisiert 12. Februar 2025
  • 1 Minute Lesedauer

    • Die Eigenschaft glide.ui.attachment.download_mime_types erzwingt, dass die angegebene Liste gefährlicher Dateitypen auf den Client heruntergeladen und nicht inline im Browser angezeigt wird.

    Wenn die Eigenschaft glide.ui.attachment.force_download_all_mime_types auf „true“ festgelegt ist, wird die Eigenschaft glide.ui.attachment.download_mime_types überschrieben, sodass alle MIME-Typen heruntergeladen und nicht vom Browser gerendert werden. Beispiel: Das Herunterladen von Text/HTML erzwingt, dass eine HTML-Datei als Datei auf den Client heruntergeladen und nicht inline im Browser angezeigt wird, wodurch ein XSS-Angriff verhindert wird. XSS kann zu einer leicht zu erreichenden Berechtigungseskalation auf höhere Rollen wie „Administrator“ führen, in der mehr seitliche Bewegung möglich ist.

    Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.ui.attachment.force_download_all_mime_types auf „wahr“ festgelegt ist. Wenn die Eigenschaft in der Tabelle „sys_properties“ nicht vorhanden ist, ist der Standardwert „false“.

    Hinweis:
    Zum Bearbeiten der Eigenschaft ist die Rolle „security_admin“ erforderlich.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.ui.attachment.download_mime_types
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Durch ordnungsgemäßes Verwalten der Liste gefährlicher Dateitypen, die nicht im Browser angezeigt werden können, werden Cross Site Scripting-Angriffe (XSS) verhindert.
    Empfohlener Wert Liste der anwendbaren MIME-Typen oder der empfohlene Wert: text/html,image/svg,image/svg+xml,application/xml
    Standardwert Liste der anwendbaren MIME-Typen für den Standardwert: text/html,image/svg,image/svg+xml,application/xml
    Konfigurationstyp Zeichenfolge: Beliebige, durch Kommas getrennte Werte von Anwendungs-MIME-Typen.
    Funktionale Auswirkung Diese Korrektur erzwingt die Leistung von Validierungsprüfungen, bevor eine Aktion ausgeführt wird, wenn Sie in einer Anwendung Now Platform auf einen Anhang klicken. Es gibt keine potenziellen Auswirkungen, aber die Anwender-Experience wird geändert.
    Sicherheitsrisiko (Moderat) Angreifer können MIME-Typen missbrauchen und unbeabsichtigte Skriptinhalte im Anhang auf der Seite des Opfers platzieren, um vertrauliche Informationen zu erfassen. Die Möglichkeit, über XSS zu verfügen, kann dazu führen, dass eine problemlose Ausweitung von Berechtigungen auf höhere Rollen wie „Administrator“ erreicht werden kann, in denen mehr seitliche Bewegung möglich ist.

    Füllen Sie im aktuellen Kontext die Eigenschaft mit einer Liste von kommagetrennten MIME-Anhangtypen aus, die nicht inline im Browser gerendert werden sollen.
    Sicherheitsrisikobewertung 6.4
    Zugehörige Eigenschaften
    • glide.ui.attachment.force_download_all_mime_types
    • glide.ui.attachment.tables_ignore_force_download
    Referenzen Eingeschränkt herunterladbare MIME-Typen definieren [Aktualisiert in Security Center 1.3, 1.5 und 2.0].