java XML解析防止外部实体注入

本文转载自查看原文 2017-03-27 11:54 5331 java/ xml

　　/** 
     * 增加防止部实体注入逻辑
     * <功能详细描述>
     * @param reader
     * @throws SAXException
     * @see [类、类#方法、类#成员]
     */
    public static void setReaderFeature(SAXReader reader)
        throws SAXException
    {
        
        reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        
        reader.setFeature("http://javax.xml.XMLConstants/feature/secure-processing", true);
        
        // 是否包含外部生成的实体。当正在解析文档时为只读属性，未解析文档的状态下为读写。
        reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
        
        // 是否包含外部的参数，包括外部DTD子集。当正在解析文档时为只读属性，未解析文档的状态下为读写。
        reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        
        reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
        
    }

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 XXE攻防——XML外部实体注入【XXE学习】XML外部实体注入 XML外部实体注入漏洞(XXE) XML外部实体（XXE）注入详解 XXE（xml外部实体注入漏洞） XXE (XML External Entity Injection) :XML外部实体注入 XXE(XML External Entity attack)XML外部实体注入攻击【JAVA XXE攻击】微信支付官方回应XML外部实体注入漏洞 XML外部实体注入漏洞——XXE简单分析 Pikachu-XXE（xml外部实体注入漏洞）