那些遇到过的问题

在TransformerFactory中设置FEATURE_SECURE_PROCESSING是否还会更新其他安全功能?

Kar*_*yan 7 java xerces xalan

在jdk1.6中,当我设置

transformerFactory.setFeature(XMLConstants.ACCESS_EXTERNAL_DTD, false)
Run Code Online (Sandbox Code Playgroud)

我遇到以下错误:

javax.xml.transform.TransformerConfigurationException:无法在此TransformerFactory上设置功能' http://javax.xml.XMLConstants/property/accessExternalDTD '。在org.apache.xalan.processor.TransformerFactoryImpl.setFeature(TransformerFactoryImpl.java:418)

就像我在这里找到的一样:如何防止具有META-INF \ services \ javax.xml.transform.TransformerFactory的xalan.jar接管Xalan实现中内置的JDK 1.6? 我无法进行此处建议的更改,因为管理员还会查看其他API冲突。

并按此链接:http : //xml.apache.org/xalan-j/features.html#domsource 您可以使用该TransformerFactory.setFeature(String, boolean)方法来设置功能的值。Xalan-Java仅支持设置XMLConstants.FEATURE_SECURE_PROCESSING功能。对于所有其他功能,TransformerFactory公开其值,但不能更改其状态。

因此,如果使用TransormerFactory的xalan实现,似乎只能设置此功能。

transformerFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
Run Code Online (Sandbox Code Playgroud)

最后我的问题:如果我们设置功能: 

transformerFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
Run Code Online (Sandbox Code Playgroud)

然后是另一个功能(XMLConstants.ACCESS_EXTERNAL_DTD)自动设置为false。
我从设置的日志中获得了上述功能“ false”。但是我想确定是否accessExternalDTD默认将功能设置为false或将安全处理功能设置为true。

SHo*_*oko 6

在 Java 8 中是的。如果我们设置

TransformerFactory factory = TransformerFactory.newInstance();
factory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
Run Code Online (Sandbox Code Playgroud)

然后将属性ACCESS_EXTERNAL_DTD设置ACCESS_EXTERNAL_STYLESHEETowasp 指南""推荐的那样。

我们可以通过以下方式验证:

Object hasExternalDtd=factory.getAttribute(XMLConstants.ACCESS_EXTERNAL_DTD);
Object hasExternalStyle=factory.getAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET);
Run Code Online (Sandbox Code Playgroud)

设置该功能后FEATURE_SECURE_PROCESSING

如果我们不设置默认值,则这all两个属性都适用。

Kar*_*yan 1

从源代码来看,更新XMLConstants.FEATURE_SECURE_PROCESSING时,其他功能似乎没有更新:

  public void setFeature(String name, boolean value)
  throws TransformerConfigurationException {

// feature name cannot be null
if (name == null) {
    throw new NullPointerException(
              XSLMessages.createMessage(
                  XSLTErrorResources.ER_SET_FEATURE_NULL_NAME, null));    
}

// secure processing?
if (name.equals(XMLConstants.FEATURE_SECURE_PROCESSING)) {
    m_isSecureProcessing = value;           
}
// This implementation does not support the setting of a feature other than
// the secure processing feature.
else
{
  throw new TransformerConfigurationException(
      XSLMessages.createMessage(
        XSLTErrorResources.ER_UNSUPPORTED_FEATURE, 
        new Object[] {name}));
}
}
Run Code Online (Sandbox Code Playgroud)

所以看来我需要找到另一种方法来设置此功能XMLConstants.ACCESS_EXTERNAL_DTD :(

归档时间:

查看次数:

5507 次

最近记录:

6 年,3 月 前
如何防止具有META-INF\services\javax.xml.transform.TransformerFactory的xalan.jar接管内置在Xalan实现中的JDK 1.6? 4
更多相关链接
相关归档
当toString()和hashCode()被覆盖时,如何获取java中对象的"对象引用"? 100
cacerts和keystore有什么区别? 96
如何将Java对象(bean)转换为键值对(反之亦然)? 89
Java中的爆炸和内爆(就像PHP一样) 87
无法在android中调用String.isEmpty() 80
如何从Spring Batch中的ItemReader访问作业参数? 67
单元测试加载本机库的Java类 53
如何指定由通配符包围的JPA命名参数? 45
Hibernate - 外键而不是实体 45
在Java中:如何从byte []数组中压缩文件? 43
难疑归档
如何判断Bash中是否存在常规文件? 3069
如何使用Curl从终端/命令行发布JSON数据到测试Spring REST? 2606
如何通过引用传递变量? 2480
将字节转换为字符串? 1968
什么是C ??!??!操作员呢? 1911
在GitHub上将图像添加到README.md 1675
C#在foreach中重用变量是否有原因? 1631
为什么Dictionary优先于Hashtable? 1348
Android中的gravity和layout_gravity有什么区别? 1286
endsWith在JavaScript中 1085