Définir une politique de sécurité de contenu sûre pour les fichiers SVG [Nouveau dans Security Center 1.3]

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • La com.glide.csp.self_script_src_svg propriété ajoute la directive script-src none à l’en-tête HTTP Content-Security-Policy lorsque vous accédez aux SVG (Scalable Vector Graphics) via l’extension de fichier IIX (Translation Memory Index).

    La com.glide.csp.self_script_src_svg propriété empêche l’exécution de pièces jointes malveillantes qui stockent des attaques de script de site à site (XSS) dans une instance. Sans cette politique, un acteur malveillant pourrait amener un utilisateur à exécuter du code JavaScript arbitraire dans son navigateur Web, ce qui pourrait entraîner des vulnérabilités de sécurité telles que l’exfiltration de données et la prise de contrôle de session.

    En savoir plus

    Attribut Description
    Nom de la configuration com.glide.csp.self_script_src_svg
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données booléen
    Valeur recommandée VRAI
    Valeur par défaut VRAI
    Catégorie Validation, nettoyage et codage
    Risque de sécurité
    • Score de gravité : 7,1
    • Score CVSS : élevé
    • Détails du risque de sécurité : ne pas définir cette propriété sur la valeur recommandée vrai peut amener un utilisateur à exécuter du code JavaScript arbitraire à partir d’un acteur malveillant.
    Dépendances et prérequis Néant
    Impact fonctionnel Cette propriété empêche les fichiers SVG (Scalable Vector Graphics) d'accéder à des scripts externes.