Definir tipos MIME para download restritos
Use a propriedade glide.ui.attachment.force_download_all_mime_types para baixar tipos MIME e não renderizar em linha no navegador.
Para exibir uma lista de tipos MIME existentes, digite /sys_attachment_icon_rule_list.do. Você pode habilitar qualquer um desses tipos MIME para atender aos requisitos de conformidade de segurança em Now Platform.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.ui.attachment.force_download_all_mime_types |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Restringir os tipos de arquivo de serem renderizados no navegador para evitar qualquer execução de script mal-intencionado oculto. |
| Classificação do CVSS | 8 |
| Valor recomendado | Verdadeiro |
| Impacto funcional | (Baixo) Esta correção impõe a realização das verificações de validação antes de executar uma ação ao clicar em um anexo em uma aplicação da Now Platform. Não há nenhum impacto potencial, mas a experiência do usuário é alterada. |
| Risco à segurança | (Alto) Os vetores de ataque de script do lado do cliente vêm de formas diferentes e o abuso de anexo do tipo MIME não é exceção. Os invasores podem abusar dos tipos MIME e colocar conteúdo de script não intencional no anexo do lado da vítima para capturar informações confidenciais. A capacidade de ter XSS pode levar ao fácil alcance da escalação de privilégios para funções superiores, como administrador, onde mais movimento lateral pode ser realizado. No contexto atual, preencha a propriedade com uma lista de tipos MIME de anexo separados por vírgula que não devem ser renderizados em linha no navegador. Exemplos: texto/html, texto/csv |
| Links relacionados | Forçar o download de tipos MIME. |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.