Boa tarde, Robson.
A atualização avalia o documento na hora que o usuário tenta visualizá-lo e
identifica possíveis ameaças ao sistema. Portanto, não é um erro do
sistema, mas uma segurança deste. Você pode utilizar a
flag 'FiltrarConteudoConsulta' como true para que o "erro" pare de aparecer
e o documento seja exibito sem apresentar as possíveis ameaças. Isto é, o
documento abrirá mas possivelmente essas imagens não aparecerão.
Vale lembrar que o documento original não é alterado. O verificador de XSS
somente remove o conteúdo suspeito para apresentar o documento na tela, mas
não interfere na integridade do documento original.
Há um patch de correção desse script para resolver o problema de bloqueio
de imagens. Este patch está em fase de testes e logo estará disponível no
Portal do Software Público como uma versão 3.0.11. Fique atento.
Também avisaremos na lista sobre a atualização.
> Colegas bom dia.
>
>
>
> Da mesma forma que outros estão se manifestado identificamos o mesmo
> problema. Realizamos o download da nova versão na noite de quinta-feira,
> próxima passada, dia 5, logo cedo na sexta-feira, dia 6, detectou-se
> problema, pois os usuários se manifestaram que o sistema apresentava erro,
> documentos que estavam sendo construídos, e outros que já haviam sido
> concluídos, que se encontravam na árvore do processo também foram
> bloqueados.
>
>
>
> Colo abaixo o log:
>
>
>
> *********************
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
> *Usuário: 60558784100/FNDE Servidor: www.fnde.gov.br
> (172.21.1.181) Erro: Documento possui conteúdo não
> permitido (0688984). Detalhes: Nível A. Trilha de Processamento: 0
> /opt/sei/web/editor/rn/EditorRN.php(1737): SeiINT::validarXss(' html ...', '0688984') 1 [internal function]:
> EditorRN->consultarHtmlVersaoConectado(Object(EditorDTO)) 2
> /opt/infra/infra_php/InfraRN.php(140): call_user_func(Array,
> Object(EditorDTO)) 3 /opt/sei/web/documento_visualizar.php(105):
> InfraRN->__call('consultarHtmlVe...', Array) 4
> /opt/sei/web/documento_visualizar.php(105):
> EditorRN->consultarHtmlVersao(Object(EditorDTO)) 5
> /opt/sei/web/controlador.php(257): require_once('/opt/sei/web/do...') 6
> {main} Navegador: Mozilla/5.0 (Windows NT 6.1; Win64; x64)
> AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36
> GET: Array ( [acao] => documento_visualizar [acao_origem] =>
> procedimento_visualizar [id_documento] => 815319 [arvore] => 1
> [infra_sistema] => 100000100 [infra_unidade_atual] => 110000044
> [infra_hash] =>
> 6a9e3168525c7d76c4d426cc89bb5f0f310dd467818218d482a9e33058b468c5 ) POST:
> Array ( )*
>
> *************************
>
> Identificamos que os nossos documentos possuem imagens em seu conteúdo,
> aqui em algumas unidades o uso de imagens como fotos, desenhos inseridos
> nos documentos é rotina.
>
>
>
> Fizemos uns testes em ambiente de homologação que está com a versão
> 3.0.10, por essa razão, anexei quatro casos de teste, o teste 1 deu erro,
> este foi com extensão PNG, os demais foram tranquilos, o sistema aceitou e
> abriu o documento. Assim, deduzimos que o com extensão PNG que não abriu
> pode ser uma das razões. Contudo, tivemos a mesma mensagem de erro em
> documento somente textual, nada de imagens de qualquer natureza, isso nos
> deixou sem convicção sobre o que realmente a regra está bloqueando. Porém
> fica o exemplo do que fizemos para análise.
>
>
>
> Outra coisa que identificamos, o link com o CPF do usuário que elaborou o
> documento no rodapé do documento onde expõe a versão. Na nova versão 3.0.10
> está desabilitado, diferente das até a versão 3.0.8, pois não havíamos
> atualizado para a 3.0.9. Até a v3.0.8 o CPF no versionamento era link
> ativo.
>
>
>
> A propósito, a equipe de TI disponibilizou o nível verificação em “B”, daí
> abriram-se os documentos,
>
>
>
>
>
> Atenciosamente,
>
>
>
> [image: ASSINATURA ROBSON]
>
>
>
> _______________________________________________
> sei-tecnico mailing list
> sei-tecnico@listas.softwarepublico.gov.br
>
https://listas.softwarepublico.gov.br/mailman/cgi-bin/listinfo/sei-tecnico>
>