启用可接受文件类型的白名单

为了阻止直接打开可能包含有害内容的附件,已添加 content-disposition 头,用于指示浏览器保存文件附件,而不是直接将其打开。

关于此任务

此功能的不利影响是本应打开的已知文件类型(jpg、pdf 等)的附件现在需要客户执行额外的步骤来打开。白名单机制使用两个 notes.ini 文件变量进行实施,允许客户指定不应阻止下载的文件类型。
注: 请慎用该选项。将文件类型添加到白名单后,浏览器可以利用其缺省处理装入那些文件类型,这样,第三方活动内容就能够在该浏览器中运行从而获得对主服务器上会话信息和数据的访问权。请确保添加的文件类型已知是安全的。
  • iNotes_WA_Sec_AttachCDHeader
    • 如果设置为 0,将禁用头设置。
    • 如果设置为 1(缺省值),将为所有文件类型设置头,但以下文件类型除外:白名单中的文件类型;(如果用户代理指示 Mobile 和 Safari).bmp、.gif、.jpg 和文本文件;(如果用户代理指示 Mobile、Safari 和 Android)已经列出的扩展名;以及 .csv、.doc、.pdf、.ppt 和 .xls。
    • 如果设置为 2,将为除白名单中文件类型以外的其他所有文件类型设置头。此设置在 notes.ini 值设置为 1 或根本未设置的情况下,将允许设备浏览器打开缺省文件类型。在这种情况下,将使用四种缺省文件类型以及在 notes.ini 文件中输入的文件类型。
  • iNotes_WA_Sec_AttachCDWhiteList 指定允许直接打开的附件类型的逗号分隔列表,例如, iNotes_WA_Sec_AttachCDWhiteList=jpg,pdf,gif