Filtre de disposition du contenu content-disposition-filter
Le filtre de disposition de contenu est une fonctionnalité de sécurité contre les attaques XSS sur les fichiers de SVG.
Une fois installé, le filtre bloque l’accès à toutes les ressources. Par exemple, il vous a été impossible d’afficher un PDF en ligne. Cette section décrit comment configurer le filtre selon vos besoins.
Configuration du filtre de disposition du contenu configure-content-disposition-filter
Vous pouvez visualiser le filtre de disposition de contenu Apache Sling dans GitHub.
Les options du filtre de disposition du contenu offrent les fonctionnalités suivantes :
-
Chemins d’accès de disposition du contenu : liste des chemins auxquels le filtre sera appliqué, suivi d’une liste de types MIME à exclure sur ces chemins. Ce chemin d’accès doit être absolu et peut contenir un caractère générique (
*) à la fin pour s’appliquer à chaque chemin d’accès aux ressources avec le préfixe donné. Par exemple :/content/*:image/jpeg,image/svg+xmlappliquera le filtre à chaque nœud dans/contentà l’exception des images jpg et svg. -
Chemins d’accès aux ressources exclues : une liste de ressources exclues. Chaque chemin doit être absolu et complet. La correspondance des préfixes et les caractères génériques ne sont pas pris en charge.
-
Activer pour tous les chemins d’accès aux ressources : cet indicateur contrôle l’activation de ce filtre pour tous les chemins, à l’exception des chemins d’accès aux ressources exclues. En définissant cette valeur sur « true », vous pouvez ignorer les chemins de disposition du contenu. Indépendamment de la configuration, seuls les chemins d’accès aux ressources qui contiennent une propriété nommée
jcr:dataoujcr:content jcr:data.