制限されたダウンロード可能な MIME タイプを定義する (セキュリティセンター 1.3、1.5、および 2.0 で更新)
glide.ui.attachment.force_download_all_mime_types プロパティを使用して MIME タイプをダウンロードし、ブラウザーでインラインレンダリングしません。
text/html、image/svg、image/svg+xml、application/xml などの危険な MIME タイプが glide.ui.attachment.download_mime_types に含まれている場合、危険なファイルがブラウザーでインラインでレンダリングされ、クロスサイトスクリプティング攻撃 (XSS) につながる可能性があります。このプロパティは、カンマ区切りの添付 MIME タイプのリストであり、ブラウザにインラインでは表示されません。たとえば、text/html を含めると、HTML ファイルはブラウザでインライン表示されず、添付ファイルとしてクライアントに強制的にダウンロードされます。このリストを適切に管理することで、クロスサイトスクリプティング攻撃を防ぐことができます。
glide.ui.attachment.download_mime_types システムプロパティに「text/html、image/svg、image/svg+xml、application/xml」などの危険な MIME タイプが含まれていない場合、危険なファイルがブラウザーにインラインで表示される可能性があります。これにより、クロスサイトスクリプティング (XSS) 攻撃が発生する可能性があります。このチェックは、 glide.ui.attachment.force_download_all_mime_typesが false に設定されている場合にのみ関連します。
このプロパティは、添付ファイルの MIME タイプをカンマで区切って列挙したもので、ブラウザーではインラインレンダリングされません。たとえば、 text/html を含めると、HTML ファイルはブラウザでインライン表示されず、添付ファイルとしてクライアントに強制的にダウンロードされます。
glide.ui.attachment.force_download_all_mime_typesが false に設定されている場合は、glide.ui.attachment.download_mime_types システムプロパティに危険な MIME タイプ text/html、image/svg、image/svg+xml、application/xml が含まれていることを確認します。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 | glide.ui.attachment.force_download_all_mime_types |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | 文字列 (MIME タイプのカンマ区切りリスト) |
| 推奨値 | text/html、image/svg、image/svg+xml、application/xml |
| デフォルト値 | text/html、image/svg、image/svg+xml、application/xml |
| フォールバック値 | text/html、image/svg、image/svg+xml、application/xml |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| セキュリティリスク |
|
| 依存関係と前提条件 | このチェックは、 glide.ui.attachment.download_mime_types が false に設定されている場合、またはシステムプロパティ [sys_properties] テーブルに存在しない場合にのみ関連します。 |