XML 外部エンティティの制限
glide.security.file.mime_type.validation プロパティを使用して、アップロードする MIME タイプのチェックをアクティブ化します。添付ファイルの MIME タイプ検証を有効 (プロパティを true に設定) または無効 (false に設定) にすることができます。
必須条件
このプロパティを設定する前に glide.attachment.extensions プロパティを設定してください。glide.attachment.extensions で指定された拡張子のみがアップロード時に MIME タイプをチェックされます。
警告:
これはセーフハーバープロパティです。つまり、いったん変更したら変えることはできません。元に戻すことはできません。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.xml.entity.whitelist |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | この修復コントロールは、XXE 攻撃から防御するために有効にする必要があります。 |
| 推奨値 | true |
| セキュリティリスク評価 | 5.4 |
| 機能への影響度 | (低) カスタマイズで glide.xml.entity.whitelist プロパティの包含リストではなく外部エンティティを使用している場合、NOW Platform が以降の処理をブロックする可能性があります。 |
| セキュリティリスク | (重大) 攻撃者は DTD を使用して、サーバーが実行する可能性のある任意の HTTP 要求を含めることができます。この場合、サーバーと他のエンティティとの信頼関係を利用する他の攻撃につながる可能性があります。 |