Content Disposition フィルター

Content Disposition フィルターは、SVG ファイルへの XSS 攻撃に対するセキュリティ機能です。

インストールが完了すると、フィルターはすべてのアセットへのアクセスをブロックします。例えば、オンラインで PDF を表示することができなくなります。このセクションでは、必要に応じてフィルターを設定する方法について説明します。

Content Disposition フィルターの設定

GitHub で Apache Sling の Content Disposition フィルターを参照できます。

Content Disposition フィルターのオプションには、次の機能があります。

  • Content Disposition パス:​フィルターが適用されるパスのリストの後に、そのパスで除外する MIME タイプのリストを追加したもの。このパスは絶対パスでなければならず、すべてのリソースパスを指定されたパスプレフィックスと一致させるため、末尾にワイルドカード(*)を含めることができます。例:/content/*:image/jpeg,image/svg+xml は、jpg および svg 画像を除く、/content? 内のすべてのノードにフィルターを適用します。

  • 除外されたリソースパス:​除外されたリソースのリストです。各リソースパスは絶対パスおよび完全修飾パスとして指定する必要があります。プレフィックスマッチング/ワイルドカードはサポートされていません。

  • すべてのリソースパスを有効化:​このフラグは、除外されたリソースパスで定義されたパス以外のすべてのパスに対して、このフィルターを有効にするかどうかを制御します。これを「true」に設定すると、Content Disposition パスが無視されます。設定に関係なく、jcr:data または jcr:content/jcr:data という名前のプロパティを含むリソースパスのみが対象になります。

このページ