Definição de tipos MIME para download restritos [Atualizado na Central de segurança 1.3, 1.5 e 2.0]

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura
  • Use a propriedade glide.ui.attachment.force_download_all_mime_types para baixar tipos MIME e não fazer a renderização deles em linha no navegador.

    Se glide.ui.attachment.download_mime_types inclui itens perigosos, como text/html, image/svg, image/svg+xml e application/xml, os arquivos perigosos podem ser renderizados em linha no navegador, o que pode resultar em ataques de XSS (script entre sites). Essa propriedade é a lista separada por vírgula de tipos MIME de anexos que não serão renderizados em linha no navegador. Por exemplo, incluir text/html forçará os arquivos HTML a serem baixados no cliente como anexos em vez de exibidos em linha no navegador. A manutenção adequada dessa lista impede ataques de script entre sites.

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.ui.attachment.force_download_all_mime_types
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Tipo de dados booliano
    Categoria Validação, limpeza e codificação
    Finalidade Restringir os tipos de arquivo de serem renderizados no navegador para evitar qualquer execução de script mal-intencionado oculto.
    Classificação do CVSS 8
    Valor padrão verdadeiro
    Valor recomendado verdadeiro
    Impacto funcional Esta correção impõe a realização das verificações de validação antes da execução de uma ação quando você clica em um anexo em uma aplicação da Now Platform. Não há nenhum impacto potencial, mas a experiência do usuário é alterada.
    Risco à segurança (Alto) Os vetores de ataque de script do lado do cliente vêm de formas diferentes e o abuso de anexo do tipo MIME não é exceção.

    Os invasores podem abusar dos tipos MIME e colocar conteúdo de script não intencional no anexo do lado da vítima para capturar informações confidenciais. A capacidade de ter XSS pode levar ao fácil alcance da escalação de privilégios para funções superiores, como administrador, onde mais movimento lateral pode ser realizado.

    No contexto atual, preencha a propriedade com uma lista de tipos MIME de anexo separados por vírgula que não devem ser renderizados em linha no navegador.

    Exemplos: texto/html, texto/csv

    Links relacionados Restrição de tipos MIME para download [Atualizado na Central de segurança 1.3 e 2.0].

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.