Content-Disposition-Filter

Der Content-Disposition-Filter ist eine Sicherheitsfunktion zum Schutz vor XSS-Angriffen auf SVG-Dateien.

Nach der Installation blockiert der Filter den Zugriff auf alle Assets. Sie konnten beispielsweise eine PDF-Datei nicht online anzeigen. In diesem Abschnitt wird beschrieben, wie Sie den Filter Ihren Anforderungen entsprechend konfigurieren.

Konfigurieren des Content-Disposition-Filters

Sie können den Filter Apache Sling Content Disposition in GitHub anzeigen.

Die Optionen für den Content-Disposition-Filter bieten die folgenden Funktionen:

  • Inhaltsbereitstellungspfade: eine Liste von Pfaden, auf die der Filter angewendet wird, gefolgt von einer Liste von MIME-Typen, die für diesen Pfad ausgeschlossen werden sollen. Dieser Pfad muss ein absoluter Pfad sein und kann am Ende einen Platzhalter (*) enthalten, um jeden Ressourcenpfad mit dem angegebenen Pfadpräfix abzugleichen. Beispiel: /content/*:image/jpeg,image/svg+xml wendet den Filter auf jeden Knoten in /content? an, mit Ausnahme von JPG- und SVG-Bildern

  • Ausgeschlossene Ressourcenpfade: eine Liste der ausgeschlossenen Ressourcen. Jeder Ressourcenpfad muss als absoluter und vollständig qualifizierter Pfad angegeben werden. Präfixabgleiche/Platzhalter werden nicht unterstützt.

  • Aktivieren für alle Ressourcenpfade: Diese Markierung steuert, ob dieser Filter für alle Pfade aktiviert werden soll, mit Ausnahme der ausgeschlossenen Pfade, die von ausgeschlossenen Ressourcenpfaden definiert werden. Ist diese Option auf „true“ festgelegt, werden die Content-Disposition-Pfade ignoriert. Unabhängig von der Konfiguration werden nur Ressourcenpfade behandelt, die eine Eigenschaft mit dem Namen jcr:data oder jcr:content/jcr:data enthalten.

Auf dieser Seite