Définir les types MIME téléchargeables restreints [Mise à jour dans Security Center 1.3]

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • La glide.ui.attachment.download_mime_types propriété forcera le téléchargement de la liste spécifiée de types de fichiers dangereux sur le client et ne sera pas affichée dans le navigateur.

    Si le type MIME d’un fichier est présent dans le, un glide.ui.attachment.download_mime_types téléchargement est forcé. Par exemple, le téléchargement de texte/html force un fichier HTML à être téléchargé sur le client en tant que fichier plutôt que d’être affiché en ligne dans le navigateur, empêchant ainsi une attaque XSS.

    Pour afficher une liste des types MIME existants, tapez /sys_attachment_icon_rule_list.do. Vous pouvez activer n’importe lequel de ces types MIME pour satisfaire aux exigences de conformité de sécurité dans le Now Platform.

    Remarque :
    Le rôle security_admin est requis pour modifier la propriété.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.ui.attachment.download_mime_types
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, nettoyage et codage
    Objectif En maintenant correctement la liste des types de fichiers dangereux qui ne peuvent pas être affichés dans le navigateur, vous éviterez les attaques de script de site à site (XSS).
    Valeur recommandée Liste des types MIME applicables ou de la valeur recommandée : text/html,image/svg,image/svg+xml,application/xml
    Valeur par défaut Liste des types MIME applicables pour la valeur par défaut : text/html,image/svg,image/svg+xml,application/xml
    Type de configuration Chaîne : toutes les valeurs séparées par des virgules des types MIME d’application.
    Impact fonctionnel (Faible) Ce rattrapage permet d’effectuer des contrôles de validation avant d’effectuer une action lorsque vous cliquez sur une pièce jointe dans une Now Platform application. Il n’y a pas d’impact potentiel, mais l’expérience utilisateur est altérée.
    Risque de sécurité (Modéré) Les attaquants peuvent abuser les types MIME et placer du contenu de script non souhaité dans la pièce jointe du côté de la victime pour capturer des informations sensibles. La possibilité d’avoir des XSS peut conduire à une escalade de privilège facilement atteinte vers des rôles plus élevés, tels que l’administrateur, où un mouvement plus latéral peut être effectué.

    Dans le contexte actuel, renseignez la propriété avec une liste de types MIME de pièces jointes séparés par des virgules qui ne doivent pas être affichés en ligne dans le navigateur.
    Cote de risque de sécurité 6.3
    Propriétés associées
    • glide.ui.attachment.force_download_all_mime_types
    • glide.ui.attachment.tables_ignore_force_download
    Références Forcer le téléchargement des types MIME.