Excel 計算式をエスケープ (Security Center 1.3 で更新)
glide.export.escape_formulas プロパティを使用して、Excel のインジェクション (式のインジェクションとも呼ばれる) を防止します。
Excel などのプログラム内の数式をエスケープすることで、ファイルをエクスポートして開いた後に、悪意のある可能性のある数式が実行されないようにします。Excel インジェクションは、Web サイトが Excel ファイル内に信頼できないエントリを埋め込むときに発生します。式が適切にエスケープされていない場合、Microsoft Excel や LibreOffice Call などのスプレッドシートアプリケーションを使用してファイルを開くと、+、-、=、または @ で始まるセルは式として解釈されます。悪意のある式は、コード実行による閲覧者のコンピューターの侵害に使用される可能性があるため、スプレッドシートに機密情報が含まれていない場合であってもリスクを引き起こします。
glide.export.escape_formulas システムプロパティを true に設定して、これらの式が実行されないようにエスケープします。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.export.escape_formulas |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | アプリケーションで Excel インジェクションまたは式のインジェクションを防止すること |
| 推奨値 | true |
| デフォルト値 | false |
| セキュリティリスク評価 | 6.4 |
| 機能への影響度 | 悪意を持って細工された数式は、スプレッドシートソフトウェアの脆弱性を悪用してユーザーのコンピューターを乗っ取るために使用される可能性があります。 |
| セキュリティリスク | (中) 悪意のある式は、閲覧者のコンピューターの侵害に使用される可能性があるため、埋め込みスプレッドシートに機密情報が含まれていない場合であってもリスクを引き起こします。 |
| ワークアラウンド | 代替手段として、可能な場合はすべての末尾の空白を削除し、クライアントが提供するすべてのデータを英数字のみに制限することを検討してください。 |
| 参照 | 利用可能なシステムプロパティ |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。