Définir une politique de sécurité du contenu sécurisé pour les fichiers SVG [Nouveau dans Security Center 1.3]

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • La com.glide.csp.self_script_src_svg propriété ajoute la directive script-src none à l’en-tête HTTP Content-Security-Policy lorsque les SVG (Scalable Vector Graphics) sont accessibles via l’extension de fichier IIX (Translation Memory Index).

    Cette propriété empêche les com.glide.csp.self_script_src_svg pièces jointes malveillantes qui stockent des attaques de script de site à site (XSS) de s’exécuter dans une instance. Sans cette politique, un acteur malveillant pourrait amener un utilisateur à exécuter du code JavaScript arbitraire dans son navigateur Web, ce qui pourrait entraîner des failles de sécurité telles que l’exfiltration de données et la prise de contrôle de session.

    En savoir plus

    Attribut Description
    Nom de la configuration com.glide.csp.self_script_src_svg
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données booléen
    Valeur recommandée VRAI
    Valeur par défaut VRAI
    Catégorie Validation, assainissement et encodage
    Risque de sécurité
    • Score de gravité : 7,1
    • Score CVSS : élevé
    • Détails du risque de sécurité : Si vous ne définissez pas cette propriété sur la valeur recommandée, vrai, un utilisateur peut exécuter du code JavaScript arbitraire provenant d’un acteur malveillant.
    Dépendances et prérequis Aucun
    Impact fonctionnel Cette propriété empêche les fichiers SVG (Scalable Vector Graphics) d’accéder à des scripts externes.