ダウンロード可能な MIME タイプを制限する
glide.ui.attachment.download_mime_types プロパティは、指定された危険なファイルタイプのリストのファイルを強制的にクライアントにダウンロードし、ブラウザーにインラインで表示しないようにします。
glide.ui.attachment.force_download_all_mime_typesシステムプロパティが true に設定されている場合、glide.ui.attachment.download_mime_types プロパティが上書きされ、ブラウザーによってレンダリングされるのではなく、すべての MIME タイプがダウンロードされます。たとえば、text/html をダウンロードすると、HTML ファイルはブラウザーでインライン表示されるのではなく、ファイルとしてクライアントに強制的にダウンロードされ、XSS 攻撃を防ぐことができます。
プロパティ glide.ui.attachment.force_download_all_mime_types が true に設定されていることを確認します。システムプロパティ [sys_properties] テーブルにプロパティが存在しない場合、デフォルト値は false です。
注:
プロパティを編集するには、security_admin ロールが必要です。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 | glide.ui.attachment.download_mime_types |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | ブーリアン |
| 推奨値 | true |
| デフォルト値 | <なし> |
| フォールバック値 | false |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| セキュリティリスク |
|
| 機能への影響 | この修正では、アプリケーションで添付ファイルをクリックしたときに、アクションを実行する前に検証チェックのパフォーマンスが適用されます。潜在的な影響はありませんが、ユーザーエクスペリエンスが変わります。 |
| 依存関係と前提条件 | なし |