Beschränken Sie externe XML-Entitäten
Verwenden Sie die Eigenschaft glide.security.file.mime_type.validation, um die MIME-Typprüfung für Uploads zu aktivieren. Sie können die MIME-Typvalidierung für Dateianhänge aktivieren (setzen Sie die Eigenschaft auf true) oder deaktivieren (setzen Sie sie auf false).
Voraussetzungen
Bevor Sie diese Eigenschaft festlegen, legen Sie die Eigenschaft glide.attachment.extensions fest. Nur die in glide.attachment.extensions angegebenen Erweiterungen werden während des Uploads auf den MIME-Typ überprüft.
Warnung:
Dies ist eine Safe-Harbor-Eigenschaft, was bedeutet, dass der Wert nicht mehr geändert werden kann, nachdem er geändert wurde. Er kann nicht rückgängig gemacht werden.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.xml.entity.whitelist |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen XXE-Angriffe zu schützen. |
| Empfohlener Wert | Wahr |
| Sicherheitsrisikobewertung | 5.4 |
| Funktionale Auswirkung | (Niedrig) Wenn die Anpassung eine externe Entität verwendet, die nicht in der Eigenschaft glide.xml.entity.whitelist aufgeführt ist, blockiert die NOW-Plattform möglicherweise die weitere Verarbeitung. |
| Sicherheitsrisiko | (Kritisch) Ein Angreifer kann die DTD verwenden, um beliebige HTTP-Anforderungen einzuschließen, die der Server ausführen könnte. Dies kann zu anderen Angriffen führen, die die Vertrauensstellung des Servers zu anderen Entitäten nutzen. |