XML 외부 엔터티 제한
인스턴스가 신뢰할 수 있는 소스의 XML만 처리하도록 시스템 속성을 구성하여 XML XXE(외부 엔터티) 공격을 방지합니다.
및 glide.xml.entity.whitelist 시스템 속성을 사용하여 glide.xml.entity.whitelist 인스턴스가 신뢰할 수 없는 소스의 XML을 처리하지 못하게 합니다.
XML XXE(외부 엔터티) 공격은 악의적인 액터가 들어오는 XML(예: HTTP 요청 추가)을 수정하여 데이터에 액세스하거나 제한된 시스템에 그대로 사용할 때 발생합니다. 이러한 공격을 방지하기 위해 시스템 속성은 glide.xml.entity.whitelist.enabled 인스턴스가 XML을 실행하는 소스를 제한합니다. 이 속성을 사용하여 glide.xml.entity.whitelist 신뢰할 수 있는 소스 집합을 정의합니다.
시스템 속성이 glide.xml.entity.whitelist 시스템 속성 [sys_properties] 테이블에 있고 http://java.sun.com/j2ee/dtds/ 로 설정되어 있는지 확인합니다. 시스템 속성이 glide.xml.entity.whitelist.enabled 시스템 속성 [sys_properties] 테이블에 있고 true 값으로 설정되어 있는지 확인합니다.
http://java.sun.com/j2ee/dtds/ 이외의 값은 속성에 glide.xml.entity.whitelist 포함할 수 있지만 바로 사용 가능한 플랫폼 상태에는 필요하지 않습니다. 추가 값을 검토하여 안전한지 확인합니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 구성 이름 |
|
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 데이터 유형 |
|
| 권장 값 |
|
| 기본값 |
|
| 폴백 값 |
|
| 범주 | 확인, 위생 및 인코딩 |
| 보안 위험 |
|
| 기능적 영향 | 커스터마이제이션이 속성에 나열된 glide.xml.entity.whitelist 포함 항목이 아닌 외부 엔터티를 사용하는 경우 NOW Platform에서 추가 처리를 차단할 수 있습니다. |
| 의존성 및 필수 구성요소 | 없음 |