Validation d’entité XMLdoc2 avec liste d’autorisation (renforcement de la sécurité de l’instance)
Utilisez une propriété pour permettre le traitement, à l’aide de XMLDocument2, des entités externes apparaissant dans une liste d’inclusion.
Prérequis
Avant de définir cette propriété :
- Définissez la propriété glide.xml.entity.whitelist.enabled sur true. Pour en savoir plus, consultez Validation des entités XMLdoc/XMLUtil avec liste d’autorisation.
- Définissez une liste de noms de domaine complets délimités par des virgules dans la glide.xml.entity.whitelist propriété, qui sont les seules URL atteignables à l’aide du processus XML Entity. propriété. Pour en savoir plus, consultez Traitement d’entité externe XML : liste d’autorisation.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.stax.whitelist_enabled |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Configurer dans le centre de sécurité de l’instance | Oui |
| Objectif | Ce contrôle de rattrapage doit être activé pour assurer la défense contre les attaques d’entités externes XML. |
| Valeur recommandée | VRAI |
| Impact fonctionnel | (Faible) Si la personnalisation utilise une entité externe qui ne figure pas sur la liste d’inclusion, le peut bloquer la poursuite du Now Platform traitement. Pour en savoir plus, consultez Traitement d’entité externe XML : liste d’autorisation. |
| Risque de sécurité | (Élevé) Un attaquant peut utiliser la DTD peut inclure des requêtes HTTP arbitraires que le serveur peut exécuter. En utilisant la relation de confiance du serveur avec d’autres entités, cela pourrait conduire à d’autres attaques. |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.