Restreindre les entités externes XML [Mise à jour dans Security Center 1.3]
Utilisez la propriété pour activer la vérification du type MIME pour les glide.security.file.mime_type.validation chargements. Vous pouvez activer (propriété sur true) ou désactiver (définir la propriété sur faux) la validation de type MIME pour les pièces jointes de fichiers.
Prérequis
Avant de définir cette propriété, définissez-la glide.attachment.extensions . Le type MIME est vérifié pendant glide.attachment.extensions le chargement uniquement pour les extensions spécifiées dans
Avertissement :
Il s’agit d’une propriété de sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.xml.entity.whitelist |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Ce contrôle de rattrapage doit être activé pour assurer la défense contre les attaques XXE. |
| Valeur recommandée | VRAI |
| Valeur par défaut | VRAI |
| Cote de risque de sécurité | 5.4 |
| Impact fonctionnel | (Faible) Si la personnalisation utilise une entité externe, et non une inclusion répertoriée dans la glide.xml.entity.whitelist propriété, la Now Platform peut bloquer le traitement ultérieur. |
| Risque de sécurité | (Critique) Un attaquant peut utiliser la DTD pour inclure des requêtes HTTP arbitraires que le serveur peut exécuter. Cela pourrait conduire à d’autres attaques en utilisant la relation de confiance du serveur avec d’autres entités. |