Financial Services Creatio, sales edition
Это документация Creatio версии 7.16.0. Мы рекомендуем использовать новую версию документации.

Безопасная загрузка файлов

Для повышения безопасности работы в Creatio вы можете настроить ограничения форматов загружаемых в приложение сторонних файлов. Ограничения на загрузку файлов действуют как для пользователей, так и для интеграций, например, внешних веб-сервисов.

При настроенных ограничениях Creatio проверяет формат файлов, которые загружаются на деталь [Файлы и ссылки]. В случае соответствия настройкам файл будет успешно загружен. В другом случае файл загружен не будет, а пользователь получит уведомление, что загрузка данного файла запрещена настройками безопасности.  Для файлов, загруженных в систему до включения ограничений, настройки не применятся.

Ограничения действуют только на загрузку файлов в Creatio, скачивать файлы могут все пользователи, имеющие к ним доступ.

В системе предусмотрены следующие способы ограничения загрузки файлов:

Список разрешенных расширений. В этом случае в приложение можно будет загрузить только файлы определенных типов.

Список запрещенных расширений. В этом случае в приложение можно будет загрузить файлы любых типов, кроме запрещенных.

Ограничения для файлов неизвестных типов. В этом случае можно установить разрешение или запрет на загрузку в приложение файлов, у которых не указано расширение и невозможно определить тип по содержимому.

Настройка ограничений загрузки файлов выполняется администратором системы. В общем случае порядок настройки ограничений на загрузку файлов выглядит так:

1.Выбрать предпочитаемый режим проверки файлов при их загрузке в приложение.

2.Настроить список разрешенных или запрещенных к загрузке типов файлов.

3.Определить поведение системы при загрузке файлов неопределенного типа.

4.Если необходимо, настроить исключения из ограничений загрузки файлов для веб-сервисов.

Выбрать режим проверки файлов

1.Перейдите в дизайнер системы по кнопке btn_system_designer.png.

2.Перейдите в раздел [Системные настройки].

3.Откройте системную настройку “Режим проверки файлов” (код “FileSecurityMode”).

4.В поле [Значение по умолчанию] выберите необходимый тип ограничения:

Проверка файлов отключена” — чтобы отменить все ограничения на загрузку файлов в приложение.

Список запрещенных расширений” — чтобы запретить загрузку в приложение файлов определенных типов.

Список разрешенных расширений” — чтобы разрешить загрузку в приложение только файлов определенных типов.

5.Сохраните изменения.

Настроить список типов файлов

1.Перейдите в дизайнер системы по кнопке btn_system_designer00001.png.

2.Перейдите в раздел [Системные настройки].

3.Откройте системную настройку

Список разрешенных расширений файлов” (код “FileExtensionsAllowList”), чтобы настроить список разрешенных к загрузке типов файлов. По умолчанию в настройке приведены наиболее часто используемые типы файлов.

Список запрещенных расширений файлов” (код “FileExtensionsDenyList”), чтобы настроить список запрещенных к загрузке типов файлов. По умолчанию в настройке приведены типы файлов, которые могут являться вредоносными.

4.В поле [Значение по умолчанию] через запятую без пробела укажите расширения файлов (Рис. 1) и проверьте корректность ввода.

Рис. 1 — Пример заполнения системной настройки “Список разрешенных расширений файлов”

scr_chapter_security_list_of_allowed.png 

5.Сохраните изменения.

Настроить ограничения для неизвестных типов файлов

Creatio определяет типы загружаемых файлов по их расширению. В случае если расширение не указано, система определяет тип файла на основании его содержимого. По умолчанию в систему разрешено загружать файлы неизвестных типов. Запрет загрузки таких файлов повысит безопасность работы в приложении, но в этом случае обязательно потребуется настроить список разрешенных или запрещенных расширений.

Чтобы запретить загрузку в Creatio файлов неизвестных типов:

1.Перейдите в дизайнер системы по кнопке btn_system_designer00002.png.

2.Перейдите в раздел [Системные настройки].

3.Откройте системную настройку “Разрешить работу с неизвестными типами файлов” (код “AllowFilesWithUnknownType”).

4.Снимите признак [Значение по умолчанию].

5.Сохраните изменения.

Настроить исключение веб-сервисов из ограничений загрузки файлов

Ограничение загрузки файлов применяется для всех используемых в системе веб-сервисов, включая те, которые были добавлены в процессе кастомизации системы, в проектных решениях и приложениях Marketplace. Чтобы веб-сервисы могли добавлять в Creatio файлы тех типов, которые не разрешены пользователям, их необходимо добавить в список исключений. Для этого:

1.Перейдите в дизайнер системы по кнопке btn_system_designer00003.png.

2.Перейдите в раздел [Справочники].

3.Откройте справочник [Список исключений из проверки безопасности файлов].

4.Нажмите [Добавить].

5.В поле [Название] укажите URI веб-сервиса, который необходимо добавить в исключения. Запись сохраняется автоматически.

Пример для приложений на .NET Framework: /0/rest/[Название пользовательского сервиса]/[Конечная точка пользовательского сервиса], без указания [Адреса приложения].

Пример для приложений на .NET CORE: /rest/[Название пользовательского сервиса]/[Конечная точка пользовательского сервиса], без указания [Адреса приложения].

6.Повторите для всех веб-сервисов, которым необходимо разрешить загрузку файлов в приложение.

Смотрите также

Раздел [Системные настройки]

Раздел [Справочники]

 

Был ли данный материал полезен?

Как можно улучшить эту статью?