如何在解析XML时禁用XInclude?
[英]How to disable XInclude when parsing XML?
问题描述
我已经了解XInclude是从不受信任的来源接收XML时的潜在漏洞。 请参阅https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#Java
我期望从外部源获取的XML非常简单,并且不需要包含外部XML。
我已尝试以下方法来禁用XInclude(如备忘单中所推荐):
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setXIncludeAware(false);
dbf.setExpandEntityReferences(false);
并使用此XML进行测试
<?xml version="1.0" encoding="utf-8"?>
<data xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include href="file://d/temp/badxml.xml" parse="xml">
</xi:include>
</data>
外部文件包含无效的XML。
如果setXIncludeAware设置为true ,我原以为解析器会失败,但事实并非如此。 该代码段始终是可解析的。 我使用的是Java 8。
这是一个有效的测试吗? 这是避免XInclude攻击的正确方法吗?
1 个解决方案
解决方案1
1 已采纳 2018-11-06 11:11:56
这是避免XInclude和实体攻击的正确方法,但正如您所发现的那样,这不是XInclude攻击的有效测试。
根据这个答案 ,“XInclude支持依赖于名称空间支持,默认情况下会出于向后兼容性原因而关闭它”。 所以调用dbf.setNamespaceAware(true);
在XSLT中,如果某个XML文件包含在xinclude中,我如何获取该元素的xml文件的文件路径?
[英]In XSLT, how do I get the filepath of the xml file of a certain element if that xml file was included with xinclude?
尝试在Java中使用XInclude并使用xml:id解决该片段
[英]Trying to use XInclude with Java and resolving the fragment with xml:id
在使用SAX进行解析时,如何保留未绑定到对象的XML节点
[英]How to preserve XML nodes that are not bound to an object when using SAX for parsing
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Woodstox/XML1.1/XSD 解析+验证和 XInclude
我们如何在 Liquibase XML 更改日志中使用 xinclude?
在XSLT中,如果某个XML文件包含在xinclude中,我如何获取该元素的xml文件的文件路径?
解析XML时如何保存数据?
另一个XML中的“ xinclude” xml是否需要完全有效?
尝试在Java中使用XInclude并使用xml:id解决该片段
将带有xinclude标记的多个XML文件连接到单个文件中
我可以将XInclude与Java 1.5 XML属性一起使用吗?
X从依赖java模块的资源中包含xml文件
在使用SAX进行解析时,如何保留未绑定到对象的XML节点
相关标签