Content Disposition フィルター

Content Disposition フィルターは、SVG ファイルへの XSS 攻撃に対するセキュリティ機能です。

インストールが完了すると、フィルターはすべてのアセットへのアクセスをブロックします。例えば、PDFをオンラインで表示できなかった。 このセクションでは、必要に応じてフィルターを設定する方法について説明します。

Content Disposition フィルターの設定

GitHub🔗で、Apache Sling Content Disposition Filterを表示できます。

Content Dispositionフィルターオプションには、次の機能があります。

  • Content Disposition Paths: フィルターが適用されるパスのリストの後に、そのパスで除外するMIMEタイプのリストが続きます。このパスは絶対パスで、指定されたパスプレフィックスを持つすべてのリソースパスに一致するワイルドカード(*)を末尾に含める必要があります。例:/content/*:image/jpeg,image/svg+xmlは、jpg画像とsvg画像を除く、/content?のすべてのノードにフィルターを適用します

  • 除外されたリソースパス: 除外されたリソースのリスト。各リソースパスは絶対パスと完全修飾パスとして指定する必要があります。プレフィックスマッチング/ワイルドカードはサポートされていません。

  • Enable For All Resource Paths: このフラグは、除外されたリソースパスで定義された除外されたパスを除き、すべてのパスに対してこのフィルターを有効にするかどうかを制御します。これを「true」に設定すると、Content Disposition パスが無視されます。設定とは無関係に、jcr:dataまたはjcr:content/jcr:dataという名前のプロパティを含むリソースパスのみが対象となります。

このページ