Restreindre les entités externes XML
Utilisez cette propriété pour activer la glide.security.file.mime_type.validation vérification du type MIME pour les chargements. Vous pouvez activer (propriété sur true) ou désactiver (définir la propriété sur false) pour les fichiers en pièces jointes.
Prérequis
Avant de définir cette propriété, définissez-la glide.attachment.extensions . Le type MIME est vérifié uniquement pour les extensions spécifiées dans glide.attachment.extensions lors du chargement.
Avertissement :
Il s’agit d’une propriété d’exonération, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.xml.entity.whitelist |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, assainissement et encodage |
| Objectif | Ce contrôle de correction doit être activé pour assurer la défense contre les attaques XXE. |
| Valeur recommandée | VRAI |
| Cote de risque de sécurité | 5.4 |
| Impact fonctionnel | (Faible) Si la personnalisation utilise une entité externe, et non une inclusion répertoriée dans la propriété, la Now Platform peut bloquer le glide.xml.entity.whitelist traitement ultérieur. |
| Risque de sécurité | (Critique) Un attaquant peut utiliser la DTD pour inclure des requêtes HTTP arbitraires que le serveur peut exécuter. Cela pourrait conduire à d’autres attaques utilisant la relation de confiance du serveur avec d’autres entités. |