Le filtre de disposition de contenu est une fonctionnalité de sécurité contre les attaques XSS sur les fichiers SVG.
Une fois installé, le filtre bloque l’accès à toutes les ressources. Par exemple, il vous a été impossible d’afficher un PDF en ligne. Cette section décrit comment configurer le filtre selon vos besoins.
Vous pouvez visualiser le filtre de disposition de contenu Apache Sling dans GitHub.
Les options du filtre de disposition du contenu offrent les fonctionnalités suivantes :
Chemins de disposition du contenu : une liste des chemins d’accès pour lesquels le filtre est appliqué, suivie d’une liste de types MIME à exclure sur ce chemin. Ce chemin d’accès doit être un chemin absolu et peut contenir un caractère générique (*
) à la fin, pour faire correspondre chaque chemin de ressource avec le préfixe de chemin donné. Par exemple : /content/*:image/jpeg,image/svg+xml
applique le filtre à chaque nœud dans /content?
à l’exception des images JPG et SVG.
Chemins d’accès aux ressources exclues : une liste de ressources exclues. Chaque chemin doit être absolu et complet. La correspondance des préfixes et les caractères génériques ne sont pas pris en charge.
Activer pour tous les chemins d’accès aux ressources : cet indicateur contrôle l’activation de ce filtre pour tous les chemins, à l’exception des chemins d’accès aux ressources exclues. En définissant cet indicateur sur « true », vous pouvez ignorer les chemins de disposition du contenu. Indépendamment de la configuration, seuls les chemins d’accès aux ressources sont concernés, lesquels contiennent une propriété nommée « jcr:data
» ou « jcr:content/jcr:data
».