XMLdoc2-Entitätsvalidierung mit Allow-Liste (Instanzsicherheitshärtung)
Verwenden Sie eine Eigenschaft, um die Verarbeitung von externen Entitäten, die in die Aufnahmeliste aufgenommen wurden, mit XMLDocument2 zu ermöglichen.
Voraussetzungen
Vor dem Festlegen dieser Eigenschaft:
- Legen Sie die Eigenschaft glide.xml.entity.whitelist.enabled auf „Wahr“ fest. Weitere Informationen finden Sie unter XMLdoc/XMLUtil-Entitätsvalidierung mit Allow-Liste.
- Definieren Sie eine Liste von kommagetrennten FQDNs in der Eigenschaft glide.xml.entity.whitelist, die die einzigen URLs sind, die über die Verarbeitung von XML-Entitäten erreicht werden können. Eigenschaft. Weitere Informationen finden Sie unter Verarbeitung externer XML-Entitäten – Allow-Liste.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.stax.whitelist_enabled |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen Angriffe von externen XML-Entitäten zu schützen. |
| Empfohlener Wert | wahr |
| Funktionale Auswirkung | (Niedrig) Wenn die Anpassung eine externe Entität verwendet, die nicht in der Aufnahmeliste aufgeführt ist, blockiert Now Platform möglicherweise die weitere Verarbeitung. Weitere Informationen finden Sie unter Verarbeitung externer XML-Entitäten – Allow-Liste. |
| Sicherheitsrisiko | (Hoch) Ein Angreifer kann mithilfe der DTD beliebige HTTP-Anforderungen einschließen, die der Server ausführen kann. Wenn die Vertrauensstellung des Servers zu anderen Entitäten verwendet wird, kann dies zu weiteren Angriffen führen. |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.