这是我使用的DomParser的代码片段,我使用的DomParser是Oracle的。
import oracle.xml.parser.v2.DOMParser;
DOMParser domParser = new DOMParser();
domParser.parse(new StringReader(xmlPayload));
Document doc = domParser.getDocument();
doc.getDocumentElement().normalize();
System.out.println("Root element :" + doc.getDocumentElement().getNodeName());
NodeList nList = doc.getElementsByTagName("student");
最近,我们的安全团队提出了一个问题,即上述DOM解析器容易受到安全攻击,并提出了设置两个属性的建议
domParser.setAttribute("RESOLVE_ENTITY_DEFAULT", true);
domParser.setAttribute("DEFAULT_ENTITY_EXPANSION_DEPTH", 150);
但是在设置这些属性时,我得到了下面的错误,
Exception in thread "main" java.lang.IllegalArgumentException
at oracle.xml.parser.v2.XMLParser.setAttribute(XMLParser.java:870)
at oracle.xml.parser.v2.DOMParser.setAttribute(DOMParser.java:538)
at DomParserExample.main(DomParserExample.java:20)
请告诉我如何防止XML实体扩展注入和XXE攻击。我试着查看了OWASP XEE Cheat,浏览了XXE攻击的各种问题和答案,但找不到解决方案。
发布于 2018-12-04 03:54:38
尝尝这个
domParser.setAttribute(XMLParser.RESOLVE_ENTITY_DEFAULT, true);
domParser.setAttribute(XMLParser.DEFAULT_ENTITY_EXPANSION_DEPTH, 150);
发布于 2020-07-29 09:43:24
这里记录了在Oracle DOMParser中处理XXE的正确方法。
// Extend oracle.xml.parser.v2.XMLParser
DOMParser domParser = new DOMParser();
// Do not expand entity references
domParser.setAttribute(DOMParser.EXPAND_ENTITYREF, false);
// dtdObj is an instance of oracle.xml.parser.v2.DTD
domParser.setAttribute(DOMParser.DTD_OBJECT, dtdObj);
// Do not allow more than 11 levels of entity expansion
domParser.setAttribute(DOMParser.ENTITY_EXPANSION_DEPTH, 12);
发布于 2019-11-29 01:36:58
使用XMLParser和DOMParser来解决DOM解析器的增强修复的maven依赖版本是什么?
https://stackoverflow.com/questions/50386159
复制相似问题