Formules Excel d’échappement [Mis à jour dans Centre de sécurité 1.3]
Utilisez la propriété pour empêcher l’injection Excel, également connue sous le glide.export.escape_formulas nom d’injection de formule.
Empêchez l’exécution de formules potentiellement malveillantes dans des programmes tels qu’Excel après l’exportation et l’ouverture du fichier en échappant les formules dans ces fichiers. L’injection Excel se produit lorsque les sites Web intègrent des entrées non approuvées dans des fichiers Excel. Lorsque vous utilisez une application de feuille de calcul telle que Microsoft Excel ou LibreOffice Call pour ouvrir un fichier, toutes les cellules commençant par +, -, = ou @ sont interprétées comme une formule à moins d’être correctement échappées. Les formules malveillantes présentent un risque même lorsque la feuille de calcul ne contient aucune information sensible, car elles peuvent être utilisées pour compromettre l’ordinateur du spectateur par l’exécution de code.
Définissez la propriété système glide.export.escape_formulas sur vrai pour échapper l’exécution de ces formules.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.export.escape_formulas |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Pour empêcher l’application contre Excel ou l’injection de formule. |
| Valeur recommandée | vrai |
| Valeur par défaut | Faux |
| Cote de risque de sécurité | 6.4 |
| Impact fonctionnel | Des formules malveillantes peuvent être utilisées pour détourner l'ordinateur de l'utilisateur en exploitant les vulnérabilités du tableur. |
| Risque de sécurité | (Modéré) Les formules malveillantes présentent un risque même lorsque la feuille de calcul d’intégration ne contient aucune information sensible, car elles peuvent être utilisées pour compromettre l’ordinateur du spectateur. |
| Solution de contournement | Comme alternative, envisagez de supprimer tous les espaces de fin dans la mesure du possible et de limiter toutes les données fournies par le client à des caractères alphanumériques. |
| Références | Propriétés système disponibles |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.