Le filtre de disposition du contenu est une fonctionnalité de sécurité permettant de lutter contre les attaques XSS sur des fichiers SVG.
Une fois installé, le filtre bloque l’accès à toutes les ressources. Par exemple, il vous a été impossible d’afficher un PDF en ligne. Cette section explique comment configurer ce filtre en fonction de vos besoins.
Vous pouvez visualiser le filtre de disposition de contenu Apache Sling dans GitHub.
Les options du filtre de disposition du contenu offrent les fonctionnalités suivantes :
Chemins d’accès de disposition du contenu : liste des chemins auxquels le filtre sera appliqué, suivi d’une liste de types MIME à exclure sur ces chemins. Ce chemin d’accès doit être absolu et peut contenir un caractère générique (*
) à la fin pour s’appliquer à chaque chemin d’accès aux ressources avec le préfixe donné. Par exemple : /content/*:image/jpeg,image/svg+xml
appliquera le filtre à chaque nœud dans /content?
à l’exception des images jpg et svg.
Chemins d’accès aux ressources exclues : une liste de ressources exclues. Chaque chemin doit être absolu et complet. La correspondance des préfixes et les caractères génériques ne sont pas pris en charge.
Activer pour tous les chemins d’accès aux ressources : cet indicateur contrôle l’activation de ce filtre pour tous les chemins, à l’exception des chemins d’accès aux ressources exclues. En définissant cette valeur sur « true », vous pouvez ignorer les chemins de disposition du contenu. Indépendamment de la configuration, seuls les chemins d’accès aux ressources sont concernés, lesquels contiennent une propriété nommée « jcr:data
» ou « jcr:content/jcr:data
».