Безопасная загрузка файлов

Продукты
Все продукты

Для повышения безопасности работы в Creatio вы можете настроить ограничения форматов загружаемых в приложение сторонних файлов. Ограничения на загрузку файлов действуют как для пользователей, так и для интеграций, например, внешних веб-сервисов.

При настроенных ограничениях Creatio проверяет формат файлов, которые загружаются на деталь Файлы и ссылки. В случае соответствия настройкам файл будет успешно загружен. В другом случае файл загружен не будет, а пользователь получит уведомление, что загрузка данного файла запрещена настройками безопасности.  Для файлов, загруженных в систему до включения ограничений, настройки не применятся.

Ограничения действуют только на загрузку файлов в Creatio, скачивать файлы могут все пользователи, имеющие к ним доступ.

В системе предусмотрены следующие способы ограничения загрузки файлов:

  • Ограничения для файлов определенных типов — вы можете настроить список разрешенных расширений или список запрещенных расширений файлов. В этом случае можно установить разрешение или запрет на загрузку в приложение файлов определенных типов.

  • Ограничения для файлов неизвестных типов. В этом случае можно установить разрешение или запрет на загрузку в приложение файлов, у которых не указано расширение и невозможно определить тип по содержимому.

Выбрать режим проверки файлов 

 

  1. Перейдите в дизайнер системы по кнопке btn_system_designer.png.

  2. Перейдите в раздел Системные настройки.

  3. Откройте системную настройку “Режим проверки файлов” (код “FileSecurityMode”).

  4. В поле Значение по умолчанию выберите необходимый тип ограничения:

    • Проверка файлов отключена” — чтобы отменить все ограничения на загрузку файлов в приложение.

    • Список запрещенных расширений” — чтобы запретить загрузку в приложение файлов определенных типов.

    • Список разрешенных расширений” — чтобы разрешить загрузку в приложение только файлов определенных типов.

  5. Сохраните изменения.

Настроить список типов файлов 

 

  1. Перейдите в дизайнер системы по кнопке btn_system_designer00001.png.

  2. Перейдите в раздел Системные настройки.

  3. Откройте системную настройку

    • Список разрешенных расширений файлов” (код “FileExtensionsAllowList”), чтобы настроить список разрешенных к загрузке типов файлов. По умолчанию в настройке приведены наиболее часто используемые типы файлов.

    • Список запрещенных расширений файлов” (код “FileExtensionsDenyList”), чтобы настроить список запрещенных к загрузке типов файлов. По умолчанию в настройке приведены типы файлов, которые могут являться вредоносными.

  4. В поле Значение по умолчанию через запятую без пробела укажите расширения файлов (Рис. 1) и проверьте корректность ввода.

    Рис. 1 — Пример заполнения системной настройки “Список разрешенных расширений файлов”
    scr_chapter_security_list_of_allowed.png
  5. Сохраните изменения.

Настроить ограничения для неизвестных типов файлов 

Creatio определяет типы загружаемых файлов по их расширению. В случае если расширение не указано, система определяет тип файла на основании его содержимого. По умолчанию в систему разрешено загружать файлы неизвестных типов. Запрет загрузки таких файлов повысит безопасность работы в приложении, но в этом случае обязательно потребуется настроить список разрешенных или запрещенных расширений.

Чтобы запретить загрузку в Creatio файлов неизвестных типов:

  1. Перейдите в дизайнер системы по кнопке btn_system_designer00002.png.

  2. Перейдите в раздел Системные настройки.

  3. Откройте системную настройку “Разрешить работу с неизвестными типами файлов” (код “AllowFilesWithUnknownType”).

  4. Снимите признак Значение по умолчанию.

  5. Сохраните изменения.

Настроить исключение веб-сервисов из ограничений загрузки файлов 

Ограничение загрузки файлов применяется для всех используемых в системе веб-сервисов, включая те, которые были добавлены в процессе кастомизации системы, в проектных решениях и приложениях Marketplace. Чтобы веб-сервисы могли добавлять в Creatio файлы тех типов, которые не разрешены пользователям, их необходимо добавить в список исключений. Для этого:

  1. Перейдите в дизайнер системы по кнопке btn_system_designer00003.png.

  2. Перейдите в раздел Справочники.

  3. Откройте справочник Список исключений из проверки безопасности файлов.

  4. Нажмите Добавить.

  5. В поле Название укажите URI веб-сервиса, который необходимо добавить в исключения. Запись сохраняется автоматически.

    • Пример для приложений на .NET Framework: /0/rest/Название пользовательского сервиса/Конечная точка пользовательского сервиса, без указания Адреса приложения.

    • Пример для приложений на .NET CORE: /rest/Название пользовательского сервиса/Конечная точка пользовательского сервиса, без указания Адреса приложения.

  6. Повторите для всех веб-сервисов, которым необходимо разрешить загрузку файлов в приложение.