제한된 다운로드 가능한 MIME 유형 정의[Security Center 1.3, 1.5 및 2.0에서 업데이트됨]
이 glide.ui.attachment.force_download_all_mime_types 속성을 사용하여 MIME 유형을 다운로드하고 브라우저에서 인라인으로 렌더링하지 않습니다.
text/html,image/svg,image/svg+xml,application/xml과 같은 위험한 항목이 포함된 경우 glide.ui.attachment.download_mime_types 브라우저에서 위험한 파일을 인라인으로 렌더링하여 XSS(Cross Sitte Scripting) 공격으로 이어질 수 있습니다. 이 속성은 브라우저에서 인라인으로 렌더링되지 않는 쉼표로 구분된 첨부 파일 MIME 유형의 목록입니다. 예를 들어 text/html을 포함하면 HTML 파일이 브라우저에서 인라인으로 표시되지 않고 첨부 파일로 클라이언트에 다운로드됩니다. 이 목록을 제대로 유지하면 교차 사이트 스크립팅 공격을 방지할 수 있습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.ui.attachment.force_download_all_mime_types |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 데이터 유형 | 부울 |
| 범주 | 확인, 삭제 및 인코딩 |
| 목적 | 숨겨진 악의적인 스크립트 실행을 방지하기 위해 파일 형식이 브라우저에서 렌더링되지 않도록 제한합니다. |
| CVSS 등급 | 8 |
| 기본값 | 예 |
| 권장 값 | 예 |
| 기능적 영향 | 이렇게 정정하면 애플리케이션에서 첨부 파일을 Now Platform 클릭할 때 작업을 수행하기 전에 확인 검사를 수행합니다. 잠재적인 영향은 없지만 사용자 경험이 변경됩니다. |
| 보안 위험 | (높음) 클라이언트 측 스크립팅 공격 벡터는 다양한 종류로 나타나며 MIME 유형 첨부 파일 남용도 예외는 아닙니다. 공격자는 MIME 유형을 남용하고 피해자 측의 첨부 파일에 의도하지 않은 스크립트 콘텐츠를 배치하여 중요한 정보를 캡처할 수 있습니다. XSS를 사용할 수 있는 기능은 더 많은 횡적 이동이 가능한 관리자와 같은 더 높은 역할로 쉽게 얻을 수 있는 권한 에스컬레이션으로 이어질 수 있습니다. 현재 컨텍스트에서 브라우저에서 인라인으로 렌더링해서는 안 되는 쉼표로 구분된 첨부 파일 MIME 유형의 목록으로 속성을 채웁니다. 예: text/html, text/csv |
| 관련 링크 | 다운로드 가능한 MIME 유형 제한 [Security Center 1.3 및 2.0에서 업데이트됨]. |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 문서를 참조하십시오 Add a system property.