La glide.security.mime.type.allowed_child_types propriété définit les types de fichiers MIME dont l’extension de fichier peut ne pas correspondre aux données d’un fichier chargé. Cela permet à ces types de fichiers de contourner la vérification du type MIME. La propriété accepte une liste de paires de types de fichiers séparées par des virgules, par exemple application/zip=application/java-archive. Dans cet exemple, si la propriété est définie sur une telle valeur, les fichiers avec une extension .zip qui sont techniquement .jar fichiers sont autorisés à passer la vérification de type MIME malgré l’incohérence. S’il n’est pas configuré correctement, ce contournement peut entraîner l’exécution de code à distance d’un fichier téléchargé. Par conséquent, il doit toujours être défini sur une chaîne vide («  ») sauf si un cas d’utilisation valide se présente. Par exemple, si un certain type MIME doit être autorisé sous une extension de fichier différente et est valide selon la configuration Tika, ces paires clé-valeur seront mises à jour dans le cadre de cette valeur de propriété.

En savoir plus