Restreindre les types MIME téléchargeables

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • La glide.ui.attachment.download_mime_types propriété forcera la liste spécifiée des types de fichiers dangereux à être téléchargée sur le client et non affichée dans le navigateur.

    Si le type MIME d’un fichier est présent dans le, le glide.ui.attachment.download_mime_types téléchargement est forcé. Par exemple, le téléchargement de texte/html force un fichier HTML à être téléchargé sur le client en tant que fichier plutôt que d’être affiché en ligne dans le navigateur, empêchant ainsi une attaque XSS.

    Pour afficher une liste des types MIME existants, tapez /sys_attachment_icon_rule_list.do. Vous pouvez activer l’un de ces types MIME pour satisfaire aux exigences de conformité de sécurité dans le Now Platform.

    Remarque :
    Le rôle security_admin est requis pour modifier la propriété.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.ui.attachment.download_mime_types
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, assainissement et encodage
    Objectif En maintenant correctement la liste des types de fichiers dangereux qui ne peuvent pas être affichés dans le navigateur, vous éviterez les attaques de script de site à site (XSS).
    Valeur recommandée Liste des types MIME applicables ou la valeur par défaut : text/html,image/svg,image/svg+xml,application/xml
    Type de configuration Chaîne : toutes les valeurs séparées par des virgules des types MIME d’application.
    Impact fonctionnel (Faible) Cette correction impose l’exécution de contrôles de validation avant d’effectuer une action lorsque vous cliquez sur une pièce jointe dans une Now Platform application. Il n’y a pas d’impact potentiel, mais l’expérience utilisateur est altérée.
    Risque de sécurité (Modéré) Les attaquants peuvent abuser des types MIME et placer du contenu de script involontaire dans la pièce jointe du côté de la victime pour capturer des informations sensibles. La possibilité d’avoir des XSS peut conduire à une élévation de privilège facilement atteinte vers des rôles plus élevés, tels que l’administrateur, où un mouvement plus latéral peut être effectué.

    Dans le contexte actuel, renseignez la propriété avec une liste de types MIME de pièces jointes séparés par des virgules qui ne doivent pas être affichés en ligne dans le navigateur.
    Cote de risque de sécurité 6.3
    Propriétés connexes
    • glide.ui.attachment.force_download_all_mime_types
    • glide.ui.attachment.tables_ignore_force_download
    Références Forcer le téléchargement des types MIME.

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.