XML 外部エンティティを制限する
インスタンスが信頼できるソースからの XML のみを処理するようにシステムプロパティを設定し、XML 外部エンティティ (XXE) 攻撃を防止します。
glide.xml.entity.whitelistおよびglide.xml.entity.whitelistシステムプロパティを使用して、インスタンスが信頼できないソースからの XML を処理しないようにします。
XML 外部エンティティ (XXE) 攻撃は、悪意のある攻撃者が受信 XML を変更して (HTTP 要求の追加など)、データにアクセスするか、制限されたシステムにそのまま残すときに発生します。これらの攻撃を防ぐために、 glide.xml.entity.whitelist.enabled システムプロパティはインスタンスが XML を実行するソースを制限します。glide.xml.entity.whitelist プロパティを使用して、信頼できるソースのセットを定義します。
glide.xml.entity.whitelistシステムプロパティがシステムプロパティ [sys_properties] テーブルに存在し、http://java.sun.com/j2ee/dtds/ に設定されていることを確認します。glide.xml.entity.whitelist.enabledシステムプロパティがシステムプロパティ [sys_properties] テーブルに存在し、値が true に設定されていることを確認します。
http://java.sun.com/j2ee/dtds/ 以外の値は glide.xml.entity.whitelist プロパティに含めることができますが、すぐに利用可能なプラットフォーム状態では不要です。追加の値を確認して、安全かどうかを判断します。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 |
|
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ |
|
| 推奨値 |
|
| デフォルト値 |
|
| フォールバック値 |
|
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| セキュリティリスク |
|
| 機能への影響 | カスタマイズで glide.xml.entity.whitelist プロパティの包含リストではなく外部エンティティを使用している場合、NOW Platform が以降の処理をブロックする可能性があります。 |
| 依存関係と前提条件 | なし |