XML 외부 엔터티 제한[Security Center 1.3에서 업데이트됨]
이 glide.security.file.mime_type.validation 속성을 사용하여 업로드에 대한 MIME 유형 검사를 활성화합니다. 첨부 파일에 대한 MIME 형식 확인을 활성화( true로 설정)하거나 비활성화( false로 설정)할 수 있습니다.
필수 구성요소
이 속성을 설정하기 전에 속성을 설정합니다 glide.attachment.extensions . 업로드 중에는 지정된 glide.attachment.extensions 확장명만 MIME 유형을 확인합니다.
경고:
이는 세이프 하버 속성이므로 변경된 후에는 값을 변경할 수 없습니다. 되돌릴 수 없습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.xml.entity.whitelist |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 확인, 위생 및 인코딩 |
| 목적 | XXE 공격을 방어하려면 이 정정 제어를 활성화해야 합니다. |
| 권장 값 | 예 |
| 기본값 | 예 |
| 보안 위험 등급 | 5.4 |
| 기능적 영향 | (낮음) 사용자 지정이 속성에 나열된 포함이 아닌 외부 엔터티를 glide.xml.entity.whitelist 사용하는 경우 NOW Platform이 추가 처리를 차단할 수 있습니다. |
| 보안 위험 | (중요) 공격자는 DTD를 사용하여 서버가 실행할 수 있는 임의의 HTTP 요청을 포함할 수 있습니다. 이로 인해 다른 엔터티와 서버의 신뢰 관계를 사용하여 다른 공격이 발생할 수 있습니다. |