Validation d’entité XMLdoc2 avec liste d’autorisation (renforcement de la sécurité de l’instance)
Utilisez une propriété pour activer le traitement, à l’aide de XMLDocument2, des entités externes apparaissant dans une liste d’inclusion.
Prérequis
Avant de définir cette propriété :
- Définissez la propriété glide.xml.entity.whitelist.enabled sur true. Pour en savoir plus, consultez Validation d’entité XMLdoc/XMLUtil avec liste d’autorisation.
- Définissez une liste de noms de domaine complets délimités par des virgules dans la glide.xml.entity.whitelist propriété, qui sont les seules URL atteignables à l’aide du processus XML Entity. Pour en savoir plus, consultez Traitement d’entité externe XML : liste d’autorisation.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.stax.whitelist_enabled |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Configurer dans le centre de sécurité de l’instance | Oui |
| Objectif | Ce contrôle de rattrapage doit être activé pour assurer la défense contre les attaques d’entité externe XML. |
| Valeur recommandée | VRAI |
| Impact fonctionnel | (Faible) Si la personnalisation utilise une entité externe qui n’est pas sur liste d’inclusion, le traitement ultérieur peut bloquer le Now Platform traitement. Pour en savoir plus, consultez Traitement d’entité externe XML - Liste d’autorisation. |
| Risque de sécurité | (Élevé) Un attaquant peut utiliser la DTD peut inclure des requêtes HTTP arbitraires que le serveur peut exécuter. En utilisant la relation de confiance du serveur avec d’autres entités, cela pourrait conduire à d’autres attaques. |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.