Eingeschränkt herunterladbare MIME-Typen definieren [Aktualisiert in Security Center 1.3]

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Die Eigenschaft glide.ui.attachment.download_mime_types erzwingt, dass die angegebene Liste gefährlicher Dateitypen auf den Client heruntergeladen und nicht inline im Browser angezeigt wird.

    Wenn der MIME-Typ einer Datei in glide.ui.attachment.download_mime_types vorhanden ist, wird ein Download erzwungen. Beispiel: Das Herunterladen von Text/HTML erzwingt, dass eine HTML-Datei als Datei auf den Client heruntergeladen und nicht inline im Browser angezeigt wird, wodurch ein XSS-Angriff verhindert wird.

    Um eine Liste vorhandener MIME-Typen anzuzeigen, geben Sie /sys_attachment_icon_rule_list.do ein. Sie können jeden dieser MIME-Typen aktivieren, um die Sicherheits-Compliance-Anforderungen in Now Platformzu erfüllen.

    Hinweis:
    Zum Bearbeiten der Eigenschaft ist die Rolle „security_admin“ erforderlich.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.ui.attachment.download_mime_types
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Durch ordnungsgemäßes Verwalten der Liste gefährlicher Dateitypen, die nicht im Browser angezeigt werden können, werden Cross Site Scripting-Angriffe (XSS) verhindert.
    Empfohlener Wert Liste der anwendbaren MIME-Typen oder der empfohlene Wert: text/html,image/svg,image/svg+xml,application/xml
    Standardwert Liste der anwendbaren MIME-Typen für den Standardwert: text/html,image/svg,image/svg+xml,application/xml
    Konfigurationstyp Zeichenfolge: Beliebige, durch Kommas getrennte Werte von Anwendungs-MIME-Typen.
    Funktionale Auswirkung (Niedrig) Diese Korrektur erzwingt die Leistung von Validierungsprüfungen, bevor eine Aktion ausgeführt wird, wenn Sie in einer Anwendung Now Platform auf einen Anhang klicken. Es gibt keine potenziellen Auswirkungen, aber die Anwender-Experience wird geändert.
    Sicherheitsrisiko (Moderat) Angreifer können MIME-Typen missbrauchen und unbeabsichtigte Skriptinhalte im Anhang auf der Seite des Opfers platzieren, um vertrauliche Informationen zu erfassen. Die Möglichkeit, über XSS zu verfügen, kann dazu führen, dass eine problemlose Ausweitung von Berechtigungen auf höhere Rollen wie „Administrator“ erreicht werden kann, in denen mehr seitliche Bewegung möglich ist.

    Füllen Sie im aktuellen Kontext die Eigenschaft mit einer Liste von kommagetrennten MIME-Anhangtypen aus, die nicht inline im Browser gerendert werden sollen.
    Sicherheitsrisikobewertung 6.3
    Zugehörige Eigenschaften
    • glide.ui.attachment.force_download_all_mime_types
    • glide.ui.attachment.tables_ignore_force_download
    Referenzen Download der MIME-Typen erzwingen.