Definir tipos MIME para download restritos [Atualizado na Central de segurança 1.3, 1.5 e 2.0]

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Use a propriedade glide.ui.attachment.force_download_all_mime_types para baixar tipos MIME e não renderizar em linha no navegador.

    Se glide.ui.attachment.download_mime_types incluir itens perigosos, como text/html,image/svg,image/svg+xml,application/xml, arquivos perigosos poderão ser renderizados em linha no navegador, o que pode levar a ataques de script entre sites (XSS). Esta propriedade é a lista de tipos de mime de anexo separados por vírgulas que não serão renderizados em linha no navegador. Por exemplo, incluir texto/html forçará os arquivos HTML a serem baixados para o cliente como anexos, em vez de exibidos em linha no navegador. Manter esta lista corretamente impedirá ataques de script entre sites.

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.ui.attachment.force_download_all_mime_types
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Tipo de dados booliano
    Categoria Validação, limpeza e codificação
    Finalidade Restringir os tipos de arquivo de serem renderizados no navegador para evitar qualquer execução de script mal-intencionado oculto.
    Classificação do CVSS 8
    Valor padrão verdadeiro
    Valor recomendado verdadeiro
    Impacto funcional Esta correção impõe o desempenho de verificações de validação antes de executar uma ação quando você clica em um anexo em uma aplicação Now Platform. Não há nenhum impacto potencial, mas a experiência do usuário é alterada.
    Risco à segurança (Alto) Os vetores de ataque de script do lado do cliente vêm de formas diferentes e o abuso de anexo do tipo MIME não é exceção.

    Os invasores podem abusar dos tipos MIME e colocar conteúdo de script não intencional no anexo do lado da vítima para capturar informações confidenciais. A capacidade de ter XSS pode levar ao fácil alcance da escalação de privilégios para funções superiores, como administrador, onde mais movimento lateral pode ser realizado.

    No contexto atual, preencha a propriedade com uma lista de tipos MIME de anexo separados por vírgula que não devem ser renderizados em linha no navegador.

    Exemplos: texto/html, texto/csv
    Links relacionados Restringir tipos MIME para download [Atualizado na Central de segurança 1.3 e 2.0].

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.