Herunterladbare MIME-Typen (Härtung der Instanzsicherheit)
Verwenden Sie die Eigenschaft glide.ui.attachment.download_mime_types, um eine Liste von kommagetrennten MIME-Anhangtypen anzugeben, die heruntergeladen, aber nicht inline im Browser gerendert werden sollen.
Hinweis:
Wenn Sie die Eigenschaft „ Download MIME-Typen erzwingen“ auf truefestlegen, wird die Eigenschaft Herunterladbare MIME -Typen überschrieben, bei der es sich um eine durch Kommas getrennte Liste herunterladbarer MIME-Typen handelt. Weitere Informationen finden Sie unter Download von MIME-Typen erzwingen.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.attachment.download_mime_types |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Um die Darstellung der Dateitypen im Browser einzuschränken, um die Ausführung versteckter schädlicher Skripts zu vermeiden. |
| Empfohlener Wert | Einige definierte Dateitypen, z. B. text/html,text/csv. |
| Funktionale Auswirkung | (Niedrig) Diese Korrektur erzwingt die Leistung von Validierungsprüfungen, bevor eine Aktion ausgeführt wird, wenn Sie in einer Anwendung Now Platform auf einen Anhang klicken. Es gibt keine potenziellen Auswirkungen, aber die Anwender-Experience wird geändert. |
| Sicherheitsrisiko | (Mittel) Client-seitige Skripting-Angriffsvektoren gibt es in verschiedenen Varianten, und der Missbrauch von MIME-Typanhängen ist keine Ausnahme. Angreifer können MIME-Typen missbrauchen und unbeabsichtigte Skriptinhalte im Anhang auf der Seite des Opfers platzieren, um vertrauliche Informationen zu erfassen. Füllen Sie die Eigenschaft im aktuellen Kontext mit einer Liste kommagetrennter MIME-Typen für Anhänge aus, die nicht inline im Browser gerendert werden sollen. Beispiel: text/html |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.