Content-Disposition-Filter

Der Content-Disposition-Filter ist eine Sicherheitsfunktion zum Schutz vor XSS-Angriffen auf SVG-Dateien.

Nach der Installation blockiert der Filter den Zugriff auf alle Assets. Sie konnten beispielsweise eine PDF nicht online anzeigen. In diesem Abschnitt wird beschrieben, wie Sie den Filter Ihren Anforderungen entsprechend konfigurieren.

Konfigurieren des Content-Disposition-Filters

Sie können die Apache Sling Content Disposition Filter in GitHub.

Die Optionen für den Content-Disposition-Filter bieten die folgenden Funktionen:

  • Content Disposition Paths: eine Liste von Pfaden, auf die der Filter angewendet wird, gefolgt von einer Liste von MIME-Typen, die für diesen Pfad ausgeschlossen werden sollen. Dieser Pfad muss ein absoluter Pfad sein und kann einen Platzhalter (*), um jeden Ressourcenpfad mit dem angegebenen Pfadpräfix abzugleichen. Beispiel: /content/*:image/jpeg,image/svg+xml wendet den Filter auf jeden Knoten in /content außer JPG- und SVG-Bilder

  • Ausgeschlossene Ressourcenpfade: eine Liste der ausgeschlossenen Ressourcen enthält, muss jeder Ressourcenpfad als absoluter und vollständig qualifizierter Pfad angegeben werden. Präfixabgleiche/Platzhalter werden nicht unterstützt.

  • Aktivieren Sie für alle Ressourcenpfade: Dieses Flag steuert, ob dieser Filter für alle Pfade aktiviert werden soll, mit Ausnahme der durch Ausgeschlossene Ressourcenpfade definierten ausgeschlossenen Pfade. Ist diese Option auf „true“ festgelegt, werden die Content-Disposition-Pfade ignoriert. Unabhängig von der Konfiguration werden nur Ressourcenpfade behandelt, die eine Eigenschaft mit dem Namen jcr:data oder
    jcr:content jcr:data.

Auf dieser Seite