Eingeschränkt herunterladbare MIME-Typen definieren [Aktualisiert in Security Center 1.3, 1.5 und 2.0]
Verwenden Sie die Eigenschaft glide.ui.attachment.force_download_all_mime_types, um MIME-Typen herunterzuladen und nicht inline im Browser zu rendern.
Wenn glide.ui.attachment.download_mime_types gefährliche Elemente wie text/html,image/svg,image/svg+xml,application/xml enthält, können gefährliche Dateien inline im Browser gerendert werden, was zu Cross Site Scripting-Angriffen (XSS) führen kann. Diese Eigenschaft ist die Liste der kommagetrennten MIME-Typen für Anhänge, die nicht inline im Browser gerendert werden. Wenn Sie beispielsweise text/html einschließen, werden HTML-Dateien als Anhänge auf den Client heruntergeladen und nicht inline im Browser angezeigt. Die ordnungsgemäße Verwaltung dieser Liste verhindert Cross Site Scripting-Angriffe.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.attachment.force_download_all_mime_types |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Datentyp | boolean |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Um die Darstellung der Dateitypen im Browser einzuschränken, um die Ausführung versteckter schädlicher Skripts zu vermeiden. |
| CVSS-Bewertung | 8 |
| Standardwert | wahr |
| Empfohlener Wert | wahr |
| Funktionale Auswirkung | Diese Korrektur erzwingt die Leistung von Validierungsprüfungen, bevor eine Aktion ausgeführt wird, wenn Sie in einer Anwendung Now Platform auf einen Anhang klicken. Es gibt keine potenziellen Auswirkungen, aber die Anwender-Experience wird geändert. |
| Sicherheitsrisiko | (Hoch) Client-seitige Skripting-Angriffsvektoren gibt es in verschiedenen Varianten, und der Missbrauch von MIME-Typanhängen ist keine Ausnahme. Angreifer können MIME-Typen missbrauchen und unbeabsichtigte Skriptinhalte im Anhang auf der Seite des Opfers platzieren, um vertrauliche Informationen zu erfassen. Die Möglichkeit, über XSS zu verfügen, kann dazu führen, dass eine problemlose Ausweitung von Berechtigungen auf höhere Rollen wie „Administrator“ erreicht werden kann, in denen mehr seitliche Bewegung möglich ist. Füllen Sie die Eigenschaft im aktuellen Kontext mit einer Liste kommagetrennter MIME-Typen für Anhänge aus, die nicht inline im Browser gerendert werden sollen. Beispiele: text/html, text/csv |
| Zugehörige Links | Herunterladbare MIME-Typen einschränken [Aktualisiert in Security Center 1.3 und 2.0]. |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.