Beschränken Sie herunterladbare MIME-Typen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die Eigenschaft glide.ui.attachment.download_mime_types erzwingt, dass die angegebene Liste der gefährlichen Dateitypen auf den Client heruntergeladen und nicht inline im Browser angezeigt wird.

    Wenn der MIME-Typ einer Datei in glide.ui.attachment.download_mime_types vorhanden ist, wird ein Download erzwungen. Zum Beispiel erzwingt das Herunterladen von text/html, dass eine HTML-Datei als Datei auf den Client heruntergeladen und nicht inline im Browser angezeigt wird, wodurch ein XSS-Angriff verhindert wird.

    Um eine Liste vorhandener MIME-Typen anzuzeigen, geben Sie /sys_attachment_icon_rule_list.do ein. Sie können einen dieser MIME-Typen aktivieren, um die Sicherheits-Compliance-Anforderungen in Now Platformzu erfüllen.

    Hinweis:
    Zum Bearbeiten der Eigenschaft ist die Rolle security_admin erforderlich.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.ui.attachment.download_mime_types
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Durch die ordnungsgemäße Verwaltung der Liste der gefährlichen Dateitypen, die im Browser nicht angezeigt werden können, werden Cross Site Scripting-Angriffe (XSS) verhindert.
    Empfohlener Wert Liste der anwendbaren MIME-Typen oder Standard: text/html,image/svg,image/svg+xml,application/xml
    Konfigurationstyp Zeichenfolge: alle durch Kommas getrennten Werte von Anwendungs-MIME-Typen.
    Funktionale Auswirkung (Niedrig) Diese Fehlerkorrektur erzwingt die Durchführung von Validierungsprüfungen, bevor eine Aktion ausgeführt wird, wenn Sie in einer Now Platform -Anwendung auf einen Anhang klicken. Es gibt keine potenziellen Auswirkungen, aber die Benutzer-Experience wird geändert.
    Sicherheitsrisiko (Mittel) Angreifer können MIME-Typen missbrauchen und unbeabsichtigte Skriptinhalte im Anhang auf der Seite des Opfers platzieren, um vertrauliche Informationen zu erfassen. Die Möglichkeit, über XSS zu verfügen, kann zu einer leicht zu erreichenden Berechtigungseskalation auf höhere Rollen wie „Administrator“ führen, in der mehr Seitwärtsbewegung möglich ist.

    Füllen Sie im aktuellen Kontext die Eigenschaft mit einer Liste von durch Kommas getrennten MIME-Anhangtypen aus, die im Browser nicht inline dargestellt werden sollen.
    Sicherheitsrisikobewertung 6.3
    Zugehörige Eigenschaften
    • glide.ui.attachment.force_download_all_mime_types
    • glide.ui.attachment.tables_ignore_force_download
    Referenzen Download von MIME-Typen erzwingen.

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.