Content Disposition フィルター content-disposition-filter

Content Disposition フィルターは、SVG ファイルへの XSS 攻撃に対するセキュリティ機能です。

インストールが完了すると、フィルターはすべてのアセットへのアクセスをブロックします。例えば、オンラインで PDF を表示することができなくなります。この節では、必要に応じてフィルターを設定する方法について説明します。

Content Disposition フィルターを設定 configure-content-disposition-filter

GitHub で Apache Sling の Content Disposition フィルターを参照できます。

Content Disposition フィルターのオプションには、次の機能があります。

  • Content Disposition パス:フィルターが適用されるパスのリストと、そのパスで除外する MIME タイプのリストが続きます。このパスは絶対パスにする必要があり、指定されたパスプレフィックスを持つすべてのリソースパスと一致させるために、末尾にワイルドカード(*)を含めることができます。例:/content/*:image/jpeg,image/svg+xml は、JPG および SVG 画像を除く、/content? のすべてのノードにフィルターを適用します。

  • 除外されたリソースパス: ​除外されたリソースのリストです。各リソースパスは絶対パスおよび完全修飾パスとして指定する必要があります。プレフィックスマッチング/ワイルドカードはサポートされていません。

  • すべてのリソースパスを有効化: ​このフラグは、除外されたリソースパスで定義されたパス以外のすべてのパスに対して、このフィルターを有効にするかどうかを制御します。このフラグを「true」に設定すると、Content Disposition パスが無視されます。設定に関係なく、jcr:data または jcr:content/jcr:data という名前のプロパティを含むリソースパスのみが対象になります。

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2