Si glide.ui.attachment.download_mime_types elle inclut des types MIME dangereux tels que text/html, image/svg, image/svg+xml, application/xml, les fichiers dangereux peuvent être affichés en ligne dans le navigateur, ce qui peut entraîner des attaques de script de site à site (XSS). Cette propriété correspond à la liste des types MIME de pièce jointe séparés par des virgules, qui ne s’afficheront pas en ligne dans le navigateur. Par exemple, l’inclusion de texte/html force le téléchargement des fichiers HTML vers le client en tant que pièces jointes plutôt que leur affichage aligné dans le navigateur. La tenue à jour de cette liste empêche les attaques de script de site à site.

Si la glide.ui.attachment.download_mime_types propriété système n’inclut pas de types MIME dangereux tels que « text/html, image/svg,image/svg+xml,application/xml », les fichiers dangereux peuvent être affichés en ligne dans le navigateur. Cela peut entraîner des attaques de script de site à site (XSS). Cette vérification n’est pertinente que lorsque glide.ui.attachment.force_download_all_mime_types cette option est définie sur faux.

Cette propriété est une liste de types MIME de pièce jointe séparés par des virgules, qui ne sont pas alignés dans le navigateur. Par exemple, l’inclusion de texte/html force le téléchargement des fichiers HTML vers le client en tant que pièces jointes plutôt que leur affichage aligné dans le navigateur.

Si glide.ui.attachment.force_download_all_mime_types la valeur est définie sur faux, vérifiez que la glide.ui.attachment.download_mime_types propriété système inclut les types MIME dangereux text/html,image/svg,image/svg+xml,application/xml.

En savoir plus