[英]DOM parser settings to avoid XML Injection attack
DOM解析器的以下設置是什么? 設置這些屬性有什么問題嗎? 它們會引起任何異常嗎?
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
Document doc = dbf.newDocumentBuilder().parse(new InputSource(byteArrayInputStream));
通常將其設置為避免遭受XML外部實體 (XXE)攻擊,這可能導致磁盤上的信息暴露( 此處OWASP詳細信息 )。
據我所知,設置這些應該不會造成任何問題。 但是,不設置它們可能會使您容易受到攻擊。
這有助於避免XML外部實體注入。
我使用的是HP Fortify SCA(源代碼分析器),如果您未指定這些屬性,則能夠發現此類問題。
您可以在這里找到更多信息: https : //www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.