제한된 다운로드 가능한 MIME 유형 정의[Security Center 1.3에서 업데이트됨]
이 glide.ui.attachment.download_mime_types 속성은 지정된 위험한 파일 형식 목록을 클라이언트에 다운로드하고 브라우저에서 인라인으로 볼 수 없도록 강제합니다.
파일의 MIME 유형이 있는 glide.ui.attachment.download_mime_types 경우 다운로드가 강제됩니다. 예를 들어 text/html을 다운로드하면 HTML 파일을 브라우저에서 인라인으로 보는 대신 파일로 클라이언트에 다운로드하여 XSS 공격을 방지합니다.
기존 MIME 유형 목록을 보려면 /sys_attachment_icon_rule_list.do를 입력합니다. 이러한 MIME 유형 중 하나를 활성화하여 Now Platform.
주:
속성을 편집하려면 security_admin 역할이 필요합니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.ui.attachment.download_mime_types |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 확인, 위생 및 인코딩 |
| 목적 | 브라우저에서 볼 수 없는 위험한 파일 형식의 목록을 올바르게 유지하면 XSS(교차 사이트 스크립팅 공격)를 방지할 수 있습니다. |
| 권장 값 | 적용 가능한 MIME 유형 목록 또는 권장 값: text/html,image/svg,image/svg+xml,application/xml |
| 기본값 | 기본값에 적용 가능한 MIME 유형 목록: text/html,image/svg,image/svg+xml,application/xml |
| 구성 유형 | 문자열: 응용 프로그램 MIME 형식의 쉼표로 구분된 값입니다. |
| 기능적 영향 | (낮음) 이 정정은 애플리케이션에서 Now Platform 첨부 파일을 클릭할 때 작업을 수행하기 전에 확인 검사 성능을 적용합니다. 잠재적인 영향은 없지만 사용자 환경이 변경됩니다. |
| 보안 위험 | (보통) 공격자는 MIME 유형을 남용하고 피해자 측의 첨부 파일에 의도하지 않은 스크립트 콘텐츠를 배치하여 중요한 정보를 캡처할 수 있습니다. XSS를 사용할 수 있는 기능은 더 많은 측 이동을 수행할 수 있는 관리자와 같은 더 높은 역할로 쉽게 얻을 수 있는 권한 에스컬레이션으로 이어질 수 있습니다. 현재 컨텍스트에서 브라우저에서 인라인으로 렌더링해서는 안 되는 쉼표로 구분된 첨부 파일 MIME 유형의 목록으로 속성을 채웁합니다. |
| 보안 위험 등급 | 6.3 |
| 관련 속성 |
|
| 참조 | MIME 유형을 강제로 다운로드합니다. |