ファイルのアップロード機能を保護する
このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。
|
適用対象 |
すべての 主要な役割 |
|
Sitecoreインストールフレームワーク |
ファイルのアップロードは、デフォルトでは安全ではありません。 |
|
Azure ツールキット |
ファイルのアップロードは、デフォルトでは安全ではありません。 |
アップロード フォルダーのスクリプトと実行の権限を拒否すると、Sitecoreインストールのセキュリティを強化できます。
アップロードフォルダのスクリプトと実行の許可を拒否する
uploadフォルダの内容の変更をユーザーに許可すると、スクリプトと実行可能プログラムをフォルダに配置する権限もユーザーに付与します。これらのスクリプトやプログラムを実行すると、サーバー上で予期しない動作が発生する可能性があります。
これを回避するには、アップロード フォルダ内のスクリプトと実行可能ファイルを実行するアクセス許可を拒否し、ユーザーがアップロードされたファイルをダウンロードしようとしたときにサーバー側で実行されないようにします。
この手順を実行する必要があるのは、コンテンツ作成者がアップロードフォルダーにファイルを直接配置できる設定の場合のみです。例えば、共有ディレクトリやFTPサーバーを使用している場合、コンテンツ作成者は大量のメディアをメディアライブラリにすばやく配置できます。
詳細については、MicrosoftのWebサイトを参照してください。
アップロード フォルダに対するScript権限とExecute権限の両方を拒否する。
-
インターネット インフォメーション サービス (IIS) マネージャーを開きます。
-
関連するWebサイトのアップロード フォルダーに移動してクリックし、IISセクションでHandler Mappingsをダブルクリックします。
-
Actionsパネルで、Edit Feature Permissionsをクリックします。
-
Edit Feature Permissionsダイアログボックスで、ScriptチェックボックスとExecuteチェックボックスをオフにし、OKをクリックします。
コンテンツ作成者が共有ディレクトリやFTPサーバーなどを使用してtempフォルダにファイルを直接配置できる設定の場合は、tempフォルダに対するユーザーのScript権限とExecute権限も拒否する必要があります。
これは、.aspxファイルがtempフォルダに保存されている場合など(カスタムコードなど)、潜在的なセキュリティ問題を回避するのにも役立ちます。
Upload Watcherの無効化
Sitecoreにファイルをアップロードする唯一の方法がメディア ライブラリからであることを確認するには、アップロード ウォッチャーを無効にする必要があります。つまり、Sitecoreクライアント内からのみファイルをアップロードでき、アップロードされるファイルを制御できます。
Upload Watcherを無効にすると、アップロードフォルダに配置されたファイルはメディアライブラリに自動的にアップロードされません。
アップロードウォッチャーを無効にするには:
-
web.configファイルを開き、<system.webServer>1879185791275781879127578modules1879127578127578セクションから次の文字列を削除します。
<add type="Sitecore.Resources.Media.UploadWatcher,Sitecore.Kernel" name="SitecoreUploadWatcher"/>