Definir uma política de segurança de conteúdo seguro para arquivos SVG

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • A propriedade com.glide.csp.self_script_src_svg adiciona a diretiva script-src none ao cabeçalho HTTP Content-Security-Policy quando os Scalable Vetor Graphics (SVGs) são acessados por meio da extensão do arquivo Translation Memory Index (IIX).

    A propriedade com.glide.csp.self_script_src_svg evita que anexos de arquivo mal-intencionados que armazenam ataques de script entre sites (XSS) sejam executados em uma instância. Sem essa política, um agente mal-intencionado pode fazer com que um usuário execute código JavaScript arbitrário no navegador da Web, o que pode levar a vulnerabilidades de segurança, como exfiltração de dados e tomada de controle de sessão.

    Mais informações

    Atributo Descrição
    Nome da configuração com.glide.csp.self_script_src_svg
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Tipo de dados booliano
    Valor recomendado verdadeiro
    Valor-padrão verdadeiro
    Categoria Validação, limpeza e codificação
    Risco à segurança
    • Pontuação de gravidade: 7,1
    • Pontuação de CVSS: alta
    • Detalhes do risco de segurança: não definir esta propriedade com o valor recomendado verdadeiro pode fazer com que um usuário execute código JavaScript arbitrário de um agente mal-intencionado.
    Dependências e pré-requisitos Nenhum(a)
    Impacto funcional Esta propriedade impede que arquivos Scalable Vector Graphics (SVG) acessem scripts externos.