Validation des entités XMLdoc/XMLUtil avec liste d’autorisation (renforcement de la sécurité de l’instance)

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez la propriété pour activer la validation d’une entité externe et n’autorise glide.xml.entity.whitelist.enabled que le traitement de celles qui figurent sur liste d’inclusion.

    • Si vous définissez cette propriété sur vrai, elle autorise uniquement le traitement des entités sur liste d’inclusion (paramètre recommandé).
    • Si vous définissez cette propriété sur faux, elle autorise le traitement de toutes les entités externes.

    Prérequis

    Avant de définir cette propriété, définissez une liste de noms de domaine complets délimités par des virgules dans la glide.xml.entity.whitelist propriété, qui sont les seules URL atteignables à l’aide du processus XML Entity. propriété. Pour en savoir plus, consultez Traitement d’entité externe XML : liste d’autorisation.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.xml.entity.whitelist.enabled
    Type de configuration Propriétés système (/sys_properties_list.do)
    Configurer dans le centre de sécurité de l’instance Oui
    Objectif Ce contrôle de rattrapage doit être activé pour assurer la défense contre les attaques XXE.
    Valeur recommandée VRAI
    Impact fonctionnel (Faible) Si la personnalisation utilise une entité externe, et non une inclusion répertoriée dans la glide.xml.entity.whitelist propriété, le Now Platform traitement ultérieur peut bloquer. Pour en savoir plus, consultez Traitement d’entité externe XML : liste d’autorisation.
    Risque de sécurité (Élevé) Un attaquant peut utiliser la DTD pour inclure des requêtes HTTP arbitraires que le serveur peut exécuter. Cela pourrait conduire à d’autres attaques en utilisant la relation de confiance du serveur avec d’autres entités.
    Solution de contournement Si vous n’utilisez pas l’expansion d’entité externe, désactivez-la. Pour en savoir plus, consultez Désactiver l’expansion des entités.

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.