制限されたダウンロード可能な MIME タイプを定義する (セキュリティセンター 1.3、1.5、および 2.0 で更新)
glide.ui.attachment.force_download_all_mime_types プロパティを使用して MIME タイプをダウンロードし、ブラウザーでインライン表示しないようにします。
text/html、image/svg、image/svg+xml、application/xml などの危険なアイテムが glide.ui.attachment.download_mime_types に含まれている場合、危険なファイルはブラウザーでインラインでレンダリングされ、クロスシットスクリプト攻撃 (XSS) につながる可能性があります。このプロパティは、ブラウザにインライン表示しない添付 MIME タイプのカンマ区切りリストです。たとえば、text/html を含めると、HTML ファイルはブラウザにインラインで表示されるのではなく、添付ファイルとしてクライアントに強制的にダウンロードされます。このリストを適切に管理することで、クロスサイトスクリプティング攻撃を防ぐことができます。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.ui.attachment.force_download_all_mime_types |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | ブール |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | ファイルタイプがブラウザーでレンダリングされないように制限し、悪意のあるスクリプトの実行を回避すること |
| CVSS 評価 | 8 |
| デフォルト値 | true |
| 推奨値 | true |
| 機能への影響 | この修正では、 Now Platform アプリケーションで添付ファイルをクリックしたときに、アクションを実行する前に検証チェックのパフォーマンスが適用されます。潜在的な影響はありませんが、ユーザーエクスペリエンスが変わります。 |
| セキュリティリスク | (高) クライアント側のスクリプティング攻撃ベクトルにはさまざまな種類があり、MIME タイプの添付ファイルの悪用も例外ではありません。 攻撃者は MIME タイプを悪用し、意図しないスクリプトコンテンツを被害者側の添付ファイルに配置して機密情報を取得することができます。XSS 機能により、admin などの上位ロールへの権限の昇格が容易になり、横方向の移動を実行しやすくなります。 現在のコンテキストでは、添付ファイル MIME タイプの中でブラウザーでインラインレンダリングしてはいけないものを、カンマ区切りのリストの形式でプロパティに入力します。 例:text/html、text/csv |
| 関連リンク | ダウンロード可能な MIME タイプを制限する (セキュリティセンター 1.3 および 2.0 で更新). |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。