Définir une politique de sécurité de contenu sûre pour les fichiers SVG

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • La com.glide.csp.self_script_src_svg propriété ajoute la directive script-src none à l’en-tête HTTP Content-Security-Policy lorsque les graphiques vectoriels évolutifs (SVG) sont accessibles via l’extension de fichier IIX (Translation Memory Index).

    La com.glide.csp.self_script_src_svg propriété système ajoute « script-src none » à l’en-tête Politique de sécurité de contenu lorsque les SVG sont accessibles via l’extension de fichier « .iix », ce qui empêche l’exploitation du XSS stocké à partir des pièces jointes créées stockées dans l’instance.

    Assurez-vous que la propriété com.glide.csp.self_script_src_svg est définie sur true.

    En savoir plus

    Attribut Description
    Nom de la configuration com.glide.csp.self_script_src_svg
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données Booléen
    Valeur recommandée VRAI
    Valeur par défaut <aucun>
    Valeur de secours Faux
    Catégorie Validation, nettoyage et codage
    Risque de sécurité
    • Score de gravité : 7,1
    • Score CVSS : élevé
    • Détails du risque de sécurité : sans cette politique, un acteur malveillant pourrait inciter un utilisateur à exécuter du code JavaScript arbitraire dans son navigateur Web, ce qui entraînerait des conséquences telles que l’exfiltration de données ou la prise de contrôle de session.
    Dépendances et prérequis Aucun
    Impact fonctionnel Cette propriété empêche les fichiers SVG (Scalable Vector Graphics) d'accéder à des scripts externes.