使用DocumentBuilderFactory将文档转换为字符串?
[英]Document to String using DocumentBuilderFactory?
问题描述
我正在尝试找到一种将Document转换为String并将此XML Document转换为String的方法? 在这里发布。 但是, 由于XXE漏洞 ,我想不使用TransformerFactory进行转换, 而只使用DocumentBuilderFactory 。 由于其他限制,我无法升级到jdk8。
到目前为止,我还没有运气。 所有搜索都返回上面链接中所示的相同代码。
是否有可能做到这一点?
2 个解决方案
解决方案1
0 2015-05-01 18:36:37
这很难做到,但是由于您的实际问题是安全漏洞而不是TransformerFactory ,所以这可能是更好的方法。
您应该能够将TransformerFactory配置为忽略实体,以防止此类问题。 请参阅: 防止XXE注入
可能对您的安全性起作用的另一件事是使用TransformerFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING) 。 这样可以避免您担心的问题。 另请参阅有关Coderanch的此论坛主题。
解决方案2
0 2015-05-15 07:47:02
根据TransformerFactory.getInstance()实际返回的实现,设置FEATURE_SECURE_PROCESSING可能有所帮助,也可能没有帮助。
例如,在Java 7中,在类路径上没有其他XML库的情况下,设置了transformerFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true); 没有帮助。
您可以通过提供StreamSource以外的Source来解决此问题(该工厂需要使用一些您无法控制的设置来解析)。
例如,您可以像这样使用StAXSource :
TransformerFactory transformerFactory = TransformerFactory.newInstance();
transformerFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true); // does not help in Java 7
Transformer transformer = transformerFactory.newTransformer();
// StreamSource is insecure by default:
// Source source = new StreamSource(new StringReader(xxeXml));
// Source configured to be secure:
XMLInputFactory xif = XMLInputFactory.newFactory();
xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);
xif.setProperty(XMLInputFactory.SUPPORT_DTD, false);
XMLEventReader xmlEventReader = xif.createXMLEventReader(new StringReader(xxeXml));
Source source = new StAXSource(xmlEventReader);
transformer.transform(
source,
new StreamResult(new ByteArrayOutputStream()));
请注意 ,实际的TrasformerFactory可能实际上并不支持StAXSource ,因此您需要像在生产中那样使用类路径来测试代码。 例如,Saxon 9(我知道是旧的)不支持StAXSource ,而我知道的“修复”它的唯一干净方法是提供自定义net.sf.saxon.Configuration实例。
XML响应中来自DocumentBuilderFactory的“ document:null”?
[英]“document: null” from DocumentBuilderFactory on an XML response?
Java DocumentBuilderFactory.parse(); 返回空文档
[英]Java DocumentBuilderFactory.parse(); returning null document
使用DocumentBuilderFactory将节点附加到现有xml-Java
[英]Append Node to Existing xml using DocumentBuilderFactory - Java
对于类型javax.xml.parsers.DocumentBuilderFactory,未定义setFeature(String,boolean)
[英]setFeature(String, boolean) is undefined for the type javax.xml.parsers.DocumentBuilderFactory
如何使用DocumentBuilderFactory在Java中创建具有多节点结构的xml文件
[英]how to create a xml file with multi node structure in java using DocumentBuilderFactory
无法使用Java中的DocumentBuilderFactory解析XML的内部元素
[英]Not able to parse inner elements of XML using DocumentBuilderFactory in Java
通过Delphi中的Java Bridge使用DocumentBuilderFactory时出现分段错误
[英]Segmentation Fault when using DocumentBuilderFactory through the Java Bridge in Delphi
java.lang.AbstractMethodError: javax.xml.parsers.DocumentBuilderFactory.setFeature(Ljava/lang/String;Z)V
[英]java.lang.AbstractMethodError: javax.xml.parsers.DocumentBuilderFactory.setFeature(Ljava/lang/String;Z)V
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
使用DocumentBuilderFactory将XML文档转换为DOM对象
XML响应中来自DocumentBuilderFactory的“ document:null”?
Java DocumentBuilderFactory.parse(); 返回空文档
使用DocumentBuilderFactory将节点附加到现有xml-Java
对于类型javax.xml.parsers.DocumentBuilderFactory,未定义setFeature(String,boolean)
如何使用DocumentBuilderFactory在Java中创建具有多节点结构的xml文件
无法使用Java中的DocumentBuilderFactory解析XML的内部元素
通过Delphi中的Java Bridge使用DocumentBuilderFactory时出现分段错误
DocumentBuilderFactory和运算符
java.lang.AbstractMethodError: javax.xml.parsers.DocumentBuilderFactory.setFeature(Ljava/lang/String;Z)V
相关标签