허용 목록이 있는 XMLdoc/XMLUtil 엔터티 확인(인스턴스 보안 강화)
glide.xml.entity.whitelist.enabled 이 속성을 사용하여 외부 엔터티 확인을 활성화하고 포함 목록에 있는 엔터티만 처리할 수 있습니다.
- 이 속성을 true로 설정하면 포함 목록에 나열된 엔터티만 처리할 수 있습니다(권장 설정).
- 이 속성을 false로 설정하면 모든 외부 엔터티를 처리할 수 있습니다.
필요 조건
이 속성을 설정하기 전에 XML 엔터티 처리를 사용하여 연결할 수 있는 유일한 URL인 속성에서 glide.xml.entity.whitelist 쉼표로 구분된 FQDN 목록을 정의합니다. 속성. 자세한 내용은 XML 외부 엔티티 처리 - 허용 목록 문서를 참조하십시오.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.xml.entity.whitelist.enabled |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 인스턴스 보안 센터에서 구성 | 예 |
| 목적 | XXE 공격을 방어하려면 이 교정 제어를 활성화해야 합니다. |
| 권장 값 | true |
| 기능적 영향 | (낮음) 사용자 지정이 속성에 나열된 포함이 아닌 외부 엔터티를 glide.xml.entity.whitelist 사용하는 경우 추가 처리가 차단될 Now Platform 수 있습니다. 자세한 내용은 XML 외부 엔티티 처리 - 허용 목록 문서를 참조하십시오. |
| 보안 위험 | (높음) 공격자는 DTD를 사용하여 서버가 실행할 수 있는 임의의 HTTP 요청을 포함할 수 있습니다. 이로 인해 다른 엔터티와 서버의 신뢰 관계를 사용하는 다른 공격이 발생할 수 있습니다. |
| 임시 해결책 | 외부 엔터티 확장을 사용하지 않는 경우 비활성화합니다. 자세한 내용은 엔터티 확장 사용 안 함을 참조하세요. |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 을 참조하십시오 Add a system property.