那些遇到过的问题

解决使用SAX解析器解析xml的安全问题

dca*_*121 5 java xml security android saxparser

我有一个Android应用程序,用户可以在其中输入任何xml源URL进行解析.然后我的应用程序解析xml(如果有效)并显示结果.

问题是,如果用户输入不受信任的xml源URL,则可能会影响应用和/或设备.

什么是识别风险,防止利用最佳途径.

通过我的研究,我发现启用FEATURE_SECURE_PROCESSING并禁用扩展可能会有所帮助.但任何人都可以告诉我它是什么,我如何实现它.

谢谢.

dca*_*121 6

经过研究,我找到了这个.我希望这能解决我的问题.

启用FEATURE_SECURE_PROCESSING

SAXParserFactory spf = SAXParserFactory.newInstance();
spf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
Run Code Online (Sandbox Code Playgroud)

禁用DTD

spf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
Run Code Online (Sandbox Code Playgroud)

  • 这实际上有用吗?这样做我得到一个例外. (2认同)

归档时间:

查看次数:

9195 次

最近记录:

13 年,3 月 前
相关归档
构建配置为更喜欢设置存储库而不是项目存储库,但存储库“maven”是由构建文件“build.gradle”添加的 327
如何格式化数字0..9以显示2位数(它不是日期) 185
最简单的方法在Android中使用svg? 122
如何使用JUnit测试依赖于环境变量的代码? 113
如何在linux或unix上找到用户的主目录? 45
元素"context:component-scan"的前缀"context"未绑定 16
会话劫持和PHP 11
如何从文件中删除xml元素? 9
将PHP代码存储在数据库中,并在运行时使用eval(),不安全吗? 4
安全和GWT - 客户端 1
难疑归档
为什么Google会在(1)之前提前; 他们的JSON回复? 3940
如何测试私有函数或具有私有方法,字段或内部类的类? 2593
我怎么知道通过jQuery选择了哪个单选按钮? 2583
在Bash中提取文件名和扩展名 1969
在单个SQL查询中插入多行? 1604
使当前的Git分支成为主分支 1555
使用JavaScript/jQuery滚动到页面顶部? 1511
静态只读与const 1349
对JavaScript对象数组进行排序 1233
如何让jQuery执行同步而非异步的Ajax请求? 1173