Restreindre les entités externes XML

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Configurez les propriétés système pour vous assurer que votre instance ne traite que le code XML provenant de sources fiables afin de prévenir les attaques d’entités externes XML (XXE).

    Utilisez les propriétés système et glide.xml.entity.whitelist pour empêcher votre instance de traiter du glide.xml.entity.whitelist code XML provenant de sources non fiables.

    Les attaques d’entités externes XML (XXE) se produisent lorsqu’un acteur malveillant modifie le XML entrant (par exemple, en ajoutant des requêtes HTTP) pour accéder aux données ou intact avec des systèmes autrement restreints. Pour éviter ces attaques, la glide.xml.entity.whitelist.enabled propriété système limite les sources à partir desquelles votre instance exécute XML. Utilisez cette glide.xml.entity.whitelist propriété pour définir un ensemble de sources de confiance.

    Assurez-vous que la glide.xml.entity.whitelist propriété système existe dans la table Propriétés système [sys_properties] et qu’elle est définie sur http://java.sun.com/j2ee/dtds/. Assurez-vous que la glide.xml.entity.whitelist.enabled propriété système existe dans la table Propriétés système [sys_properties] et qu’elle est définie sur la valeur true.

    Conseil :

    Des valeurs autres que http://java.sun.com/j2ee/dtds/ peuvent être incluses dans la glide.xml.entity.whitelist propriété, mais ne sont pas nécessaires pour l’état de la plateforme prête à l’emploi. Examinez toutes les valeurs supplémentaires pour déterminer si elles sont sûres.

    En savoir plus

    Avertissement :
    Il s’agit d’une propriété de la sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.
    Attribut Description
    Nom de la configuration
    • glide.xml.entity.whitelist
    • glide.xml.entity.whitelist.enabled
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données
    • Liste séparée par des virgules
    • Booléen
    Chaîne
    Valeur recommandée
    • http://java.sun.com/j2ee/dtds/
    • VRAI
    Valeur par défaut
    • http://java.sun.com/j2ee/dtds/
    • VRAI
    Valeur de secours
    • http://java.sun.com/j2ee/dtds/
    • VRAI
    Catégorie Validation, nettoyage et codage
    Risque de sécurité
    • Score de gravité : 9,8
    • Score CVSS : critique
    • Détails du risque de sécurité : une attaque XML Eternal Entity (XEE) peut permettre aux attaquants d’accéder à des données ou d’effectuer des actions non autorisées via des charges utiles XML fabriquées.
    Impact fonctionnel Si la personnalisation utilise une entité externe, et non une inclusion répertoriée dans la glide.xml.entity.whitelist propriété, NOW Platform peut bloquer tout traitement ultérieur.
    Dépendances et prérequis Aucun