Content-Disposition-Filter content-disposition-filter
Der Inhaltsdispositionsfilter ist eine Sicherheitsfunktion gegen XSS-Angriffe auf SVG-Dateien.
Nach der Installation blockiert der Filter den Zugriff auf alle Assets. Sie können dann beispielsweise keine PDF-Dateien online anzeigen. In diesem Abschnitt wird beschrieben, wie Sie den Filter nach Bedarf konfigurieren.
Inhaltsdispositionsfilter konfigurieren configure-content-disposition-filter
Sie können die Apache Sling Content Disposition Filter in GitHub.
Die Optionen für den Content-Disposition-Filter bieten die folgenden Funktionen:
-
„Content Disposition Paths“ (Content-Disposition-Pfade): Liste von Pfaden, auf die der Filter angewendet wird, gefolgt von einer Liste der MIME-Typen, die für diesen Pfad ausgeschlossen werden sollen. Dieser Pfad muss ein absoluter Pfad sein und kann einen Platzhalter (
*) am Ende enthalten, um alle Ressourcenpfade mit dem angegebenen Pfadpräfix abzugleichen. So wird der Filter mit „/content/*:image/jpeg,image/svg+xml“ beispielsweise auf alle Knoten unter „/content“ angewendet, mit Ausnahme von JPEG- und SVG-Bildern. -
„Excluded Resource Paths“ (Ausgeschlossene Ressourcenpfade): Eine Liste der ausgeschlossenen Ressourcen. Alle Ressourcenpfade müssen als absolute und voll qualifizierte Pfade angegeben werden. Präfixabgleiche/Platzhalter werden nicht unterstützt.
-
„Enable For All Resource Paths“ (Für alle Ressourcenpfade aktivieren): Dieses Flag steuert, ob dieser Filter für alle Pfade aktiviert werden soll. Ausgenommen sind dabei die durch „Excluded Resource Paths“ definierten ausgeschlossenen Pfade. Ist diese Option auf „true“ festgelegt, werden die Content-Disposition-Pfade ignoriert. Unabhängig von der Konfiguration werden nur Ressourcenpfade behandelt, die eine Eigenschaft mit dem Namen
jcr:dataoderjcr:content jcr:data.