SVG ファイルに安全コンテンツセキュリティポリシーを設定する (Security Center 1.3 の新機能)
com.glide.csp.self_script_src_svg プロパティは、翻訳メモリインデックス (IIX) ファイル拡張子を介して Scalable Vector Graphics (SVG) にアクセスするときに、HTTP Content-Security-Policy ヘッダーに script-src none ディレクティブを追加します。
com.glide.csp.self_script_src_svg プロパティは、クロスサイトスクリプティング (XSS) 攻撃を格納した悪意のある添付ファイルがインスタンスで実行されるのを防ぎます。このポリシーがないと、攻撃者がユーザーをだまして Web ブラウザで任意の JavaScript コードを実行させ、それがデータ流出やセッション乗っ取りなどのセキュリティの脆弱性につながる可能性があります。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 | com.glide.csp.self_script_src_svg |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | ブーリアン |
| 推奨値 | true |
| デフォルト値 | true |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| セキュリティリスク |
|
| 依存関係と前提条件 | なし |
| 機能への影響度 | このプロパティは、Scalable Vector Graphics (SVG) ファイルが外部スクリプトにアクセスするのを防ぎます。 |