Content-Disposition-Filter

Der Content-Disposition-Filter ist eine Sicherheitsfunktion zum Schutz vor XSS-Angriffen auf SVG-Dateien.

Nach der Installation blockiert der Filter den Zugriff auf alle Assets. Beispielsweise konnte eine PDF-Datei nicht online Ansicht werden. In diesem Abschnitt wird beschrieben, wie Sie den Filter Ihren Anforderungen entsprechend konfigurieren.

Konfigurieren des Content-Disposition-Filters

Sie können den Filter Apache Sling Content Disposition in GitHub Ansicht haben.

Die Optionen für den Content-Disposition-Filter bieten die folgenden Funktionen:

  • Pfadtrennungspfade: eine Liste von Pfaden, auf die der Filter angewendet wird, gefolgt von einer Liste von MIME-Typen, die auf diesem Pfad ausgeschlossen werden sollen. Dieser Pfad muss ein absoluter Pfad sein und kann am Ende einen Platzhalter (*) enthalten, damit jeder Ressourcenpfad mit dem angegebenen Pfadpräfix übereinstimmt. Beispiel: /content/*:image/jpeg,image/svg+xml wird der Filter auf jeden Knoten in"/content angewendet? außer jpg und svg

  • Ausgeschlossene Ressourcenpfade: Eine Liste ausgeschlossener Ressourcen. Jeder Ressourcenpfad muss als absoluter und voll qualifizierter Pfad angegeben werden. Präfixabgleiche/Platzhalter werden nicht unterstützt.

  • Für alle Ressourcenpfade aktivieren: Dieses Flag steuert, ob dieser Filter für alle Pfade aktiviert werden soll, mit Ausnahme der ausgeschlossenen Pfade, die von Ausgeschlossenen Ressourcenpfaden definiert werden. Ist diese Option auf „true“ festgelegt, werden die Content-Disposition-Pfade ignoriert. Unabhängig von der Konfiguration werden nur Ressourcenpfade behandelt, die eine Eigenschaft mit dem Namen jcr:data oder jcr:content/jcr:data enthalten.

Auf dieser Seite