那些遇到过的问题

解决使用SAX解析器解析xml的安全问题

dca*_*121 5 java xml security android saxparser

我有一个Android应用程序,用户可以在其中输入任何xml源URL进行解析.然后我的应用程序解析xml(如果有效)并显示结果.

问题是,如果用户输入不受信任的xml源URL,则可能会影响应用和/或设备.

什么是识别风险,防止利用最佳途径.

通过我的研究,我发现启用FEATURE_SECURE_PROCESSING并禁用扩展可能会有所帮助.但任何人都可以告诉我它是什么,我如何实现它.

谢谢.

dca*_*121 6

经过研究,我找到了这个.我希望这能解决我的问题.

启用FEATURE_SECURE_PROCESSING

SAXParserFactory spf = SAXParserFactory.newInstance();
spf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
Run Code Online (Sandbox Code Playgroud)

禁用DTD

spf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
Run Code Online (Sandbox Code Playgroud)

  • 这实际上有用吗?这样做我得到一个例外. (2认同)

归档时间:

查看次数:

9195 次

最近记录:

13 年,5 月 前
相关归档
添加的EditText不是TextInputEditText.请切换到使用该类 89
Spring Boot Multiple Datasource 62
在Android中计算罗盘方位/前往位置 54
为什么java.util.Observable不是抽象类? 49
如何在Python中获取两个xml标记之间的全部内容? 13
JAXB编组Java以输出XML文件 13
SFTP到EC2 Windows实例 8
使用php安全系统调用在线代码检查器 6
为XML元素中的属性调用不同的处理函数 6
为什么我需要为Xpath查询指定命名空间管理器 5
难疑归档
"INNER JOIN"和"OUTER JOIN"有什么区别? 4506
停止EditText在Activity启动时获得焦点 2770
在Git中只提交文件的一部分 2629
如何仅列出两次提交之间更改的文件名? 1807
如何显示JavaScript对象? 1520
如何从文件内容创建Java字符串? 1440
为什么Java有瞬态字段? 1406
如何使用jQuery设置/取消设置cookie? 1209
如何禁用UITableView选择? 1176
如何使用git merge --squash? 1101