Sicherheitsrichtlinie für sichere Inhalte für SVG-Dateien festlegen [Neu in Security Center 1.3]

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die Eigenschaft com.glide.csp.self_script_src_svg fügt dem HTTP Content-Security-Policy-Header die Direktive „ script-src none “ hinzu, wenn über die Dateierweiterung Translation Memory Index (IIX) auf skalierbare Vektorgrafiken (SVGs) zugegriffen wird.

    Die Eigenschaft com.glide.csp.self_script_src_svg verhindert, dass schädliche Dateianhänge, die Cross Site Scripting-Angriffe (XSS) speichern, in einer Instanz ausgeführt werden. Ohne diese Richtlinie könnte ein schlechter Akteur einen Benutzer dazu veranlassen, beliebigen JavaScript-Code in seinem Webbrowser auszuführen, was zu Sicherheitsschwachstellen wie Datenexfiltration und Sitzungsübernahme führen kann.

    Weitere Informationen

    Attribut Beschreibung
    Konfigurationsname com.glide.csp.self_script_src_svg
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Datentyp boolean
    Empfohlener Wert Wahr
    Standardwert Wahr
    Kategorie Validierung, Bereinigung und Codierung
    Sicherheitsrisiko
    • Schweregradpunktzahl: 7,1
    • CVSS-Punktzahl: Hoch
    • Details zum Sicherheitsrisiko: Wenn diese Eigenschaft nicht auf den empfohlenen Wert „true“ festgelegt wird, kann dies dazu führen, dass ein Benutzer beliebigen JavaScript-Code von einem fehlerhaften Akteur ausführt.
    Abhängigkeiten und Voraussetzungen Keine
    Funktionale Auswirkung Diese Eigenschaft verhindert, dass skalierbare SVG-Dateien (Vektorgrafiken) auf externe Skripts zugreifen.