Definir tipos MIME restritos para download [Atualizado na Central de segurança 1,3, 1,5 e 2,0]

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura
  • Use glide.ui.attachment.force_download_all_mime_typesPropriedade para baixar tipos MIME e não renderizar em linha no navegador.

    Se glide.ui.attachment.download_mime_typesInclui tipos MIME perigosos, como text/html, image/svg,image/svg,image/svg,application/xml, então arquivos perigosos podem ser renderizados em linha no navegador, o que pode levar a ataques de Cross Site Scripting (XSS). Esta propriedade é a lista de tipos mime de anexo separados por vírgulas, que não serão renderizados em linha no navegador. Por exemplo, a inclusão de texto/html força o download de arquivos HTML para o cliente como anexos em vez de serem exibidos em linha no navegador. Manter essa lista corretamente evita ataques de script entre sites.

    . glide.ui.attachment.download_mime_typesA propriedade do sistema não inclui tipos MIME perigosos, como "text/html, image/svg,image/svg,image/svg,application/xml", então arquivos perigosos podem ser renderizados em linha no navegador. Isso pode levar a ataques de Cross Site Scripting (XSS). Esta verificação só é relevante quando glide.ui.attachment.force_download_all_mime_typesestá definido como falso .

    Esta propriedade é uma lista de tipos MIME de anexo separados por vírgulas, que não são renderizados em linha no navegador. Por exemplo, incluindo texto/html Força o download de arquivos HTML para o cliente como anexos em vez de serem exibidos em linha no navegador.

    Se glide.ui.attachment.force_download_all_mime_typesestá definido como falso , verifique se glide.ui.attachment.download_mime_typesA propriedade do sistema inclui os tipos MIME perigosos texto/html,image/svg,image/svg,image/svg,application/xml .

    Mais informações

    Atributo Descrição
    Nome da configuração glide.ui.attachment.force_download_all_mime_types
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Tipo de dados Cadeia de caracteres (lista separada por vírgulas de tipos MIME)
    Valor recomendado texto/html,image/svg,image/svg,image/svg,application/xml
    Valor padrão texto/html,image/svg,image/svg,image/svg,application/xml
    Valor de fallback texto/html,image/svg,image/svg,image/svg,application/xml
    Categoria Validação, limpeza e codificação
    Risco à segurança
    • Pontuação de gravidade: 6,3
    • Pontuação do CVSS: média
    • Risco à segurança: Manter esta lista corretamente pode impedir ataques de script entre sites.
    Dependências e pré-requisitos Esta verificação só é relevante quando glide.ui.attachment.force_download_all_mime_typesestá definido como falso Ou não existe na tabela Propriedades do sistema [sys_properties].