XML 외부 엔터티 처리 - 허용 목록(인스턴스 보안 강화)
필요한 경우 이 glide.xml.entity.whitelist 속성을 사용하여 쉼표로 구분된 FQDN 목록에 액세스할 수 있습니다. 이러한 URL은 XML 엔터티 처리를 사용하여 연결할 수 있는 유일한 URL입니다.
필수 구성요소
이 속성을 설정하기 전에 외부 엔터티의 유효성을 검사하고 속성에 glide.xml.entity.whitelist 지정한 포함 목록의 처리만 허용하는 속성을 설정합니다glide.xml.entity.whitelist.enabled. 자세한 내용은 허용 목록을 사용한 XMLdoc/XMLUtil 엔터티 유효성 검사 문서를 참조하십시오.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.xml.entity.whitelist |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 인스턴스 보안 센터에서 구성 | 예 |
| 목적 | XML 엔터티 처리에서 액세스할 수 있는 URL의 포함 목록을 만듭니다. |
| 권장 값 | 사용자 지정됨(예: https://google.com) |
| 기능적 영향 | (낮음) 포함 목록에 언급되지 않은 경우 외부 엔터티 처리가 차단될 수 있습니다. 포함 목록이 사용으로 설정되면 외부 엔터티 정의의 PUBLIC 양식이 필요합니다. |
| 보안 위험 | (높음) 공격자는 서버가 실행할 수 있는 임의의 HTTP 요청을 포함할 수 있는 DTD를 사용할 수 있습니다. 이로 인해 다른 엔터티와 서버의 신뢰 관계를 사용하는 다른 공격이 발생할 수 있습니다 |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 을 참조하십시오 Add a system property.