Definição de tipos MIME para download restritos [Atualizado na Central de segurança 1.3, 1.5 e 2.0]
Use a propriedade glide.ui.attachment.force_download_all_mime_types para baixar tipos MIME e não fazer a renderização deles em linha no navegador.
Se glide.ui.attachment.download_mime_types inclui itens perigosos, como text/html, image/svg, image/svg+xml e application/xml, os arquivos perigosos podem ser renderizados em linha no navegador, o que pode resultar em ataques de XSS (script entre sites). Essa propriedade é a lista separada por vírgula de tipos MIME de anexos que não serão renderizados em linha no navegador. Por exemplo, incluir text/html forçará os arquivos HTML a serem baixados no cliente como anexos em vez de exibidos em linha no navegador. A manutenção adequada dessa lista impede ataques de script entre sites.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.ui.attachment.force_download_all_mime_types |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Tipo de dados | booliano |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Restringir os tipos de arquivo de serem renderizados no navegador para evitar qualquer execução de script mal-intencionado oculto. |
| Classificação do CVSS | 8 |
| Valor padrão | verdadeiro |
| Valor recomendado | verdadeiro |
| Impacto funcional | Esta correção impõe a realização das verificações de validação antes da execução de uma ação quando você clica em um anexo em uma aplicação da Now Platform. Não há nenhum impacto potencial, mas a experiência do usuário é alterada. |
| Risco à segurança | (Alto) Os vetores de ataque de script do lado do cliente vêm de formas diferentes e o abuso de anexo do tipo MIME não é exceção. Os invasores podem abusar dos tipos MIME e colocar conteúdo de script não intencional no anexo do lado da vítima para capturar informações confidenciais. A capacidade de ter XSS pode levar ao fácil alcance da escalação de privilégios para funções superiores, como administrador, onde mais movimento lateral pode ser realizado. No contexto atual, preencha a propriedade com uma lista de tipos MIME de anexo separados por vírgula que não devem ser renderizados em linha no navegador. Exemplos: texto/html, texto/csv |
| Links relacionados | Restrição de tipos MIME para download [Atualizado na Central de segurança 1.3 e 2.0]. |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.