Herunterladbare MIME-Typen (Härtung der Instanzsicherheit)
Verwenden Sie die Eigenschaft glide.ui.attachment.download_mime_types, um eine Liste von durch Kommas getrennten MIME-Anhangtypen anzugeben, die heruntergeladen, aber nicht inline im Browser gerendert werden sollen.
Hinweis:
Wenn Sie die Eigenschaft Download von MIME-Typen erzwingen auf truesetzen, wird die Eigenschaft Herunterladbare MIME-Typen überschrieben, die eine durch Kommas getrennte Liste der herunterladbaren MIME-Typen ist. Weitere Informationen finden Sie unter Download von MIME-Typen erzwingen.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.attachment.download_mime_types |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Um die Darstellung der Dateitypen im Browser einzuschränken, um die Ausführung versteckter schädlicher Skripts zu vermeiden. |
| Empfohlener Wert | Einige definierte Dateitypen, z. B. text/html,text/csv. |
| Funktionale Auswirkung | (Niedrig) Diese Fehlerkorrektur erzwingt die Durchführung von Validierungsprüfungen, bevor eine Aktion ausgeführt wird, wenn Sie in einer Now Platform -Anwendung auf einen Anhang klicken. Es gibt keine potenziellen Auswirkungen, aber die Benutzer-Experience wird geändert. |
| Sicherheitsrisiko | (Mittel) Clientseitige Skripting-Angriffsvektoren gibt es in verschiedenen Varianten, und der Missbrauch von MIME-Typ-Anhängen ist keine Ausnahme. Angreifer können MIME-Typen missbrauchen und unbeabsichtigte Skriptinhalte im Anhang auf der Seite des Opfers platzieren, um vertrauliche Informationen zu erfassen. Füllen Sie im aktuellen Kontext die Eigenschaft mit einer Liste von kommagetrennten MIME-Typen für Anhänge aus, die im Browser nicht inline dargestellt werden sollen. Beispiel: text/html |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.