Excel 式のエスケープ (インスタンスセキュリティ強化)
glide.export.escape_formulas プロパティを使用して、Excel のインジェクション (式のインジェクションとも呼ばれる) を防止します。
Excel インジェクションは、Web サイトが Excel ファイル内に信頼できないエントリを埋め込むときに発生します。Microsoft Excel や LibreOffice Call などのスプレッドシートアプリケーションを使用してファイルを開くと、+、-、=、または @ で始まるセルは式として解釈されます。glide.export.escape_formulas プロパティを true に設定すると、CSV、XLS、または XLSX ファイルにエクスポートする際に、+、-、=、または @ で始まる文字列の値には、先頭にアポストロフィが 1 つ追加されます。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.export.escape_formulas |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| Instance Security Center での構成 | あり |
| 目的 | アプリケーションで Excel インジェクションまたは式のインジェクションを防止すること |
| 推奨値 | true |
| 機能への影響度 | (低) 悪意で細工された式を使用すると、スプレッドシートソフトウェアの脆弱性を利用してユーザーのコンピューターをハイジャックすることができます。 |
| セキュリティリスク | (中) 悪意のある式は、閲覧者のコンピューターの侵害に使用される可能性があるため、埋め込みスプレッドシートに機密情報が含まれていない場合であってもリスクを引き起こします。 |
| ワークアラウンド | 代替手段として、可能な場合はすべての末尾の空白を削除し、クライアントが提供するすべてのデータを英数字のみに制限することを検討してください。 |
| 参照 | 利用可能なシステムプロパティ |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。