Restringir tipos MIME para download

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • A propriedade glide.ui.attachment.download_mime_types forçará a lista especificada de tipos de arquivos perigosos a ser baixada para o cliente e não exibida em linha no navegador.

    Se o tipo MIME de um arquivo estiver presente em glide.ui.attachment.download_mime_types, um download será forçado. Por exemplo, baixar texto/html força os arquivos HTML a serem baixados para o cliente como um arquivo, em vez de exibidos em linha no navegador, prevenindo um ataque XSS.

    Para exibir uma lista de tipos MIME existentes, digite /sys_attachment_icon_rule_list.do. Você pode habilitar qualquer um desses tipos MIME para atender aos requisitos de conformidade de segurança em Now Platform.

    Nota:
    A função security_admin é necessária para editar a propriedade.

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.ui.attachment.download_mime_types
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Categoria Validação, limpeza e codificação
    Finalidade Manter corretamente a lista de tipos de arquivos perigosos que não podem ser exibidos no navegador impedirá ataques de script entre sites (XSS).
    Valor recomendado Lista de tipos MIME aplicáveis ou o padrão: texto/html, imagem/svg, imagem/svg + xml, aplicação/xml
    Tipo de configuração Cadeia de caracteres: qualquer valor separado por vírgula de tipos mime de aplicação.
    Impacto funcional (Baixo) Esta correção impõe a realização das verificações de validação antes de executar uma ação ao clicar em um anexo em uma aplicação da Now Platform. Não há nenhum impacto potencial, mas a experiência do usuário é alterada.
    Risco à segurança (Moderado) Os invasores podem abusar dos tipos MIME e colocar conteúdo de script não intencional no anexo do lado da vítima para capturar informações confidenciais. A capacidade de ter XSS pode levar ao fácil alcance da escalação de privilégios para funções superiores, como administrador, onde mais movimento lateral pode ser realizado.

    No contexto atual, preencha a propriedade com uma lista de tipos MIME de anexo separados por vírgula que não devem ser renderizados em linha no navegador.
    Classificação de risco de segurança 6,3
    Propriedades relacionadas
    • glide.ui.attachment.force_download_all_mime_types
    • glide.ui.attachment.tables_ignore_force_download
    Referências Forçar o download de tipos MIME.

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.