Entendendo a Propriedade glide.ui.attachment.download_mime_types no ServiceNow
A propriedade glide.ui.attachment.download_mime_types no ServiceNow é crucial para a gestão de anexos dentro da plataforma, garantindo que apenas tipos MIME específicos sejam permitidos para download, conforme configurado pelos administradores do sistema. MIME (Multipurpose Internet Mail Extensions) é um padrão que descreve a natureza e o formato de um documento.
O que é glide.ui.attachment.download_mime_types?
A propriedade glide.ui.attachment.download_mime_types define uma lista de tipos MIME permitidos que os usuários podem baixar através da interface do usuário do ServiceNow. Isso é essencial para garantir a segurança e a integridade dos dados, permitindo que os administradores controlem quais tipos de arquivos podem ser acessados.
Como Configurar a Propriedade
Para configurar essa propriedade, siga os passos abaixo:
Acesse a Administração de Propriedades:
Vá para System Properties > All Properties no menu de navegação do ServiceNow.
Localize a Propriedade:
- Procure pela propriedade
glide.ui.attachment.download_mime_types.
para editar esta propriedade precisa elevar as roles com o security_admin
Tipo MIME:
Edite os Tipos MIME:
- O tipo MIME (Multipurpose Internet Mail Extensions) é um padrão que indica a natureza e o formato de um arquivo. Insira os tipos MIME que você deseja permitir. Por exemplo, se você quiser permitir apenas arquivos PDF e imagens JPEG, você deve configurar a propriedade como:
application/pdf,image/jpeg
Por exemplo:
image/jpegpara imagens JPEGapplication/pdfpara documentos PDFtext/plainpara arquivos de texto simples- Segurança: Ao permitir certos tipos de arquivos, sempre considere os riscos de segurança associados. Certifique-se de que somente os formatos desejados e seguros estão habilitados para download.
- Manutenção: Mantenha qualidade constante nas configurações e revise periodicamente os tipos de arquivos permitidos.
If “glide.ui.attachment.download_mime_types” does include dangerous items such as “text/html,image/svg,image/svg+xml,application/xml”, then dangerous files could be rendered inline in the browser which could lead to Cross Site Scripting attacks (XSS). This property is the list of comma separated attachment mime types which will not render inline in the browser. For example, including text/html will force html files to be downloaded to the client as attachments rather than viewed inline in the browser. Maintaining this list properly will prevent cross site scripting attacks.
Se “glide.ui.attachment.download_mime_types” incluir itens perigosos, como “text/html,image/svg,image/svg+xml,application/xml”, então arquivos perigosos podem ser renderizados diretamente no navegador, o que pode levar a ataques de Cross Site Scripting (XSS). Essa propriedade é a lista de tipos MIME de anexos separados por vírgula que não serão renderizados diretamente no navegador. Por exemplo, incluir text/html forçará arquivos HTML a serem baixados para o cliente como anexos, em vez de serem visualizados diretamente no navegador. Manter essa lista adequadamente ajudará a prevenir ataques de cross site scripting.
Recommendation/Recomendação:
Set property ‘glide.ui.attachment.force_download_all_mime_types’ to true.
glide.ui.attachment.force_download_all_mime_types
Recommendation:
Set property ‘glide.ui.attachment.download_mime_types’ to “text/html,image/svg,image/svg+xml,application/xml”. Note : This requires ‘security_admin’ role to edit the property.
