Restreindre les types MIME téléchargeables [Mis à jour dans Centre de sécurité 1.3 et 2.0]

Sécurité de la plateforme Yokohama

Release

yokohama

ft:locale

fr-FR

ft:publication_title

Sécurité de la plateforme Yokohama

ft:clusterId

psec

bundleId

psec

workflow

Platform

Restreindre les types MIME téléchargeables [Mis à jour dans Centre de sécurité 1.3 et 2.0]

Rversion finale: Yokohama

Mis à jour 12 févr. 2025

2 minutes de lecture

La glide.ui.attachment.download_mime_types propriété forcera le téléchargement de la liste spécifiée de types de fichiers dangereux sur le client et leur non-affichage aligné dans le navigateur.

Si la propriété glide.ui.attachment.force_download_all_mime_types est définie sur true, la glide.ui.attachment.download_mime_types propriété est alors remplacée afin que tous les types MIME soient téléchargés plutôt qu’affichés par le navigateur. Par exemple, le téléchargement de texte/html force un fichier HTML à être téléchargé sur le client en tant que fichier plutôt que d’être affiché en ligne dans le navigateur, empêchant ainsi une attaque XSS. XSS peut conduire à une escalade de privilège facilement atteinte vers des rôles plus élevés tels que l’administrateur où un mouvement plus latéral peut être effectué.

Nouvelle correction : assurez-vous que la propriété glide.ui.attachment.force_download_all_mime_types est définie sur true. Si la propriété n’existe pas dans la table sys_properties, la valeur par défaut est faux.

Remarque :

Le rôle security_admin est requis pour modifier la propriété.

En savoir plus


Attribut	Description
Nom de la propriété	glide.ui.attachment.download_mime_types
Type de configuration	Propriétés système (/sys_properties_list.do)
Catégorie	Validation, nettoyage et codage
Objectif	La gestion correcte de la liste des types de fichiers dangereux qui ne peuvent pas être affichés dans le navigateur empêchera les attaques de script de site à site (XSS).
Valeur recommandée	Liste des types MIME applicables ou valeur recommandée : `text/html,image/svg,image/svg+xml,application/xml`
Valeur par défaut	Liste des types MIME applicables pour la valeur par défaut : `text/html,image/svg,image/svg+xml,application/xml`
Type de configuration	Chaîne : toutes les valeurs séparées par des virgules des types MIME d’application.
Impact fonctionnel	Cette correction renforce la performance des contrôles de validation avant d’effectuer une action lorsque vous cliquez sur une pièce jointe dans une Now Platform application. Il n’y a pas d’impact potentiel, mais l’expérience utilisateur est altérée.
Risque de sécurité	(Modéré) Les attaquants peuvent abuser des types MIME et placer du contenu de script non souhaité dans la pièce jointe du côté de la victime pour capturer des informations sensibles. La possibilité d’avoir des XSS peut conduire à une escalade de privilège facilement atteinte vers des rôles plus élevés, tels que l’administrateur, où un mouvement plus latéral peut être effectué. Dans le contexte actuel, renseignez la propriété avec une liste de types MIME séparés par des virgules qui ne doivent pas être affichés en ligne dans le navigateur.
Cote de risque de sécurité	6.4
Propriétés connexes	glide.ui.attachment.force_download_all_mime_types glide.ui.attachment.tables_ignore_force_download
Références	Définir les types MIME téléchargeables restreints [Mis à jour dans Centre de sécurité 1.3, 1.5 et 2.0].