Validação de entidade XMLdoc/XMLUtil com lista de permissões (proteção de segurança da instância)
Use a propriedade glide.xml.entity.whitelist.enabled para habilitar a validação de entidade externa e só permitir o processamento de entidades listadas de inclusão.
- Se você definir esta propriedade como verdadeira, ela permitirá o processamento somente de entidades com lista de inclusões (configuração recomendada).
- Se você definir esta propriedade como falsa, ela permitirá o processamento de todas as entidades externas.
Pré-requisitos
Antes de definir essa propriedade, defina uma listagem de FQDN delimitada por vírgula na propriedade glide.xml.entity.whitelist, que são os únicos URLs que podem ser acessados usando a propriedade de processamento de entidade de XML. Para saber mais, consulte Processamento de entidade externa XML - lista de permissões.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.xml.entity.whitelist.enabled |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Configurar na Central de segurança da instância | Sim |
| Finalidade | Esse controle de correção deve ser ativado para se defender contra ataques XXE. |
| Valor recomendado | verdadeiro |
| Impacto funcional | (Baixo) Se a personalização estiver usando uma entidade externa, não a inclusão listada na propriedade glide.xml.entity.whitelist, a Now Platform poderá bloquear o processamento adicional. Para saber mais, consulte Processamento de entidade externa XML - lista de permissões. |
| Risco à segurança | (Alto) Um invasor pode usar o DTD para incluir solicitações HTTP arbitrárias que o servidor pode executar. Isso pode levar a outros ataques usando o relacionamento de confiança do servidor com outras entidades. |
| Solução alternativa | Se você não estiver usando a expansão de entidade externa, desabilite-a. Para saber mais, consulte Desabilitar expansão de entidade. |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.