那些遇到过的问题

在 javax XML 验证器中禁用 DTD

Ank*_*agi 5 java xml security xml-validation owasp

我正在使用javax.xml.validation.Validator来验证我的 xml,如下所示 -

        Validator validator = myschema.newValidator();
        validator.validate(new StreamSource(new StringReader(xmlString)));
Run Code Online (Sandbox Code Playgroud)

我想通过完全禁用 DTD(文档类型定义)来防止 XML 外部实体攻击,所以如果可能的话,我希望验证器在我的 xml 中出现 DTD 的情况下抛出异常。我已阅读有关使用DocumentBuilderFactory. 我如何在 Validator 中配置它?

小智 4

根据Java 的OWASP XXE 预防电子表格,以下内容应该有效:

SchemaFactory factory = SchemaFactory.newInstance("http://www.w3.org/2001/XMLSchema");
Schema myschema = factory.newSchema();
Validator validator = myschema.newValidator();
try {
  validator.setProperty(XMLConstants.ACCESS_EXTERNAL_DTD, "");
  validator.setProperty(XMLConstants.ACCESS_EXTERNAL_SCHEMA, "");
  validator.validate(new StreamSource(new StringReader(xmlString)));
} catch ...
Run Code Online (Sandbox Code Playgroud)

有关更多详细信息,请参阅XMLConstantsJavaDocs 。

  • 好吧,我没有。我只是想完全禁用 DTD 验证。您可能会问这样做的目的是什么......好吧,我有一个相当于 DTD 的官方 XSD,并将其提供给我的验证者。但是验证器一旦检测到 XML 的 **body** 中存在 DTD 声明,就会要求加载 DTD。了不起。也许我只是想*在此阶段*根据正确的 XML 完整性验证文档,并稍后执行其他检查。这就是我评论的重点。是的,我看到“完全”是问题文本的一部分,我现在为此道歉。 (2认同)

归档时间:

查看次数:

7004 次

最近记录:

5 年,4 月 前
相关归档
.toArray(new MyClass [0])或.toArray(new MyClass [myList.size()])? 147
字符串中子字符串的出现 117
Mockito:使用有界通配符返回类型的存根方法 117
'packages'元素未声明 115
如何在Spring Security/SpringMVC中手动设置经过身份验证的用户 102
getHeight为所有Android UI对象返回0 64
Android:java.lang.ClassCastException:android.widget.imageView无法强制转换为android.widget.textView 59
如何扩展或覆盖BeginForm以包含AntiForgeryToken字段 13
使用Gradle将属性添加到jar文件的清单中 6
ASP.NET:它是否涉及Active X? 4
难疑归档
在字典中添加新密钥? 2427
C#的正确版本号是多少? 2422
如何检查字符串是否包含Bash中的子字符串 2332
如何在jQuery中选择具有多个类的元素? 1985
使div填充剩余屏幕空间的高度 1743
将(移动)子目录分离到单独的Git存储库中 1712
对于数组,为什么a [5] == 5 [a]? 1567
如何完全删除使用init创建的git存储库? 1358
JavaScript是一种传递引用还是按值传递的语言? 1311
如何在Python中使用线程? 1210