解组时无法使用SaxParser执行XML外部实体验证
是因为SaxParser在解析XML时默认禁用了外部实体验证,这是为了防止安全漏洞和XXE攻击。XXE(XML External Entity)攻击是一种利用XML解析器的漏洞,通过引入恶意的外部实体来读取敏感数据、执行远程请求等。
SaxParser是一种基于事件驱动的XML解析器,它逐行解析XML文档并触发相应的事件,因此在解析过程中无法进行外部实体验证。为了解决这个问题,可以采用以下几种方法:
- 禁用外部实体解析:可以通过设置SaxParser的相关属性来禁用外部实体解析,例如设置
javax.xml.parsers.SAXParserFactory的setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)来禁止解析DTD(Document Type Definition)。 - 使用安全的XML解析器:可以选择使用一些安全性更高的XML解析器,如DOM(Document Object Model)解析器或StAX(Streaming API for XML)解析器。这些解析器通常提供了更多的安全选项,可以进行外部实体验证。
- 对输入进行过滤和验证:在接收到XML数据之前,可以对输入进行过滤和验证,确保其中不包含恶意的外部实体引用。可以使用正则表达式或其他字符串处理方法来检查XML数据中是否存在外部实体引用。
总之,为了保证系统的安全性,建议在解析XML时禁用外部实体验证或使用安全的XML解析器,并对输入进行过滤和验证,以防止XXE攻击。
相关·内容
1回答
您好,我尝试了下面的代码来验证输入的XML是否具有外部实体引用,但是即使我提供了包含外部实体的XML输入,代码也没有抛出任何异常importjavax.xml.bind.Unmarshaller;import javax.xml.pars
浏览 7提问于2018-01-10得票数 0
说明- XML外部实体攻击受益于在处理时动态构建文档的XML功能。XML实体允许动态地包含来自给定资源的数据。外部实体允许XML文档包含来自外部URI的数据。此行为使应用程序面临XML外部实体(XXE)攻击,可用于对本地系统执行拒绝服务、对本地计算机上的文件进行未经授权的访问、扫描远程计算机以及对远程系统执行拒
浏览 0提问于2016-11-21得票数 1
2回答
我正在使用java附带的SAX解析器,我注意到了一些我不理解或不喜欢的东西。 at com.sun.org.apache.xerces.internal.parsers.XML11Configuration.parseat com.sun.org.apache.xerces.internal.jaxp.SAXParserImpl.parse(SAXParserIm
浏览 9提问于2018-11-26得票数 0
4回答
如何预防XXE攻击
、、、
我们对我们的代码进行了一次安全审计,它提到我们的代码容易受到XML EXternal实体(XXE)攻击的攻击。
XML外部实体攻击利用XML特性在处理时动态生成文档。XML实体允许动态地包含来自给定资源的数据。外部实体允许XML文档包含来自外部URI的数据。此行为将应用程序暴露于XML外部实体(XXE)
浏览 19提问于2016-11-17得票数 39
4回答
通常,当在java中解析XML时,可以通过使用其中,dbf是用于创建用于XML解析的DocumentBuilders的DocumentBuilderFactory。但是,假设我正在使用JAXB解组一些XML,例如:
final JAXBContext context = JAXBContext.newIn
浏览 2提问于2011-03-11得票数 6
回答已采纳
我试图用java中的相对XSD文件验证一些XML<?xml version="1.0" encoding="UTF-8" standalone="no"?factory.setValidating(true);factory.setAttribute("http://java.sun.com/xmlSou
浏览 1提问于2017-11-13得票数 2
回答已采纳
1回答
是否可以在两个xsd解组时验证xml?我知道您可以通过执行以下操作将xml解组为具有多个上下文的对象:我可以使用一个模式进行验证:我应该怎么做才能使用两个XSD进
浏览 0提问于2012-06-27得票数 2
回答已采纳
我需要使用一组模式对传入的XML块执行一些验证。** java.lang.IllegalArgumentException:当使用对象数组作为SCHEMA_SOURCE属性值时,org.apache.xerces.impl.XMLDocumentFragmentScannerImpl.scanDocument(Un
浏览 1提问于2010-03-12得票数 1
1回答
com.sun.org.apache.xerces.internal.impl.XMLDocumentFragmentScannerImpl.scanDocument(XMLDocumentFragmentScannerImpl.java:511) at com.sun.org.apache.xerces.internal.parsers.<em
浏览 1提问于2010-03-10得票数 0
这把事情搞砸了,因为xalan试图验证一些XML,但无法检索到properties.dtd。此代码检索的XML尽管上面的java代码指示解析器不验证<
浏览 0提问于2011-07-01得票数 6
回答已采纳
我正在创建一组需要编组和解组xml的eclipse插件,我已经创建了自定义构建器来验证这些xml.So,这些构建器将在每次文件被更改或删除时执行。我让我的构建器在删除和更改事件上执行,但我的问题是,在更改或删除后,文件不存在,所以我无法解组文件。简而言之,我想在eclipse中验证xml,如果它的依赖文件在任何way.So中发生了变化,我将需要resource.For的新旧状态,这可能需要某种预删除
浏览 0提问于2013-10-19得票数 0
我尝试过创建一个SAXParser,但是实例文档中的任何xsi:schemaLocation属性都会被忽略。当使用JAXP时,Xerces不支持这个特性吗?import javax.xml.parsers.SAXParser;...SAXParserFactory.newInstance();
spf.setSchema(schema); // schema alread
浏览 7提问于2022-02-11得票数 0
1回答
使用JAXB解组整个XML时,可以将XML模式设置为在解析期间启用验证:jaxbUnmarshaller = JAXBContext.newInstance(SomeRootType.class).createUnmarshaller();另一方面,当您从XML中解
浏览 0提问于2017-08-17得票数 11
2回答
我有一个解组程序和一个MySchema.xsd文件。getResourceAsStream("/xmlValidation.xsd")); unmarshaller.setSchema(sf.newSchema(sources));
并调用unmarshaller.setEventHandler()函数,通过以下方式指定自定义验证事件
浏览 1提问于2011-03-23得票数 1
回答已采纳
我使用Java (6) XML在来自web的html文档上应用xslt转换。此文档是格式良好的xhtml,因此包含有效的DTD (<!我不需要我的输入文档验证.xml version=\"1.0\"?StreamResult(System.out)); catch (Exception e) { }
谢谢!
浏览 14提问于2009-10-15得票数 5
回答已采纳
1回答
我有一个代码,它使用JAXB和SAX来解组xml源到java对象。后来我阅读了文档,了解到如果我不提供SAX解析器,JAXB提供者将选择默认解析器。默认解析器是什么意思?如果我不提供SAX2.0解析器,它会使用DOM或任何其他技术解析文档吗?或者它将使用低于2.0版本的SAX解析器。
我们使用的是javax.xml.bind jaxb-api。我如何知道它使用的是哪个SAX解析器。如果我一定要在JAXB中使用SAX2.0编译器解析器,
浏览 1提问于2013-12-10得票数 2
我希望使用SAXParser或XMLReader解析xml文件,并验证该文件是否符合特定的xsd 文件 (new File( "example.xsd" ))。很容易
使用Validator (如中的)对xsd文件执行额外步骤的验证。若要在解析时验证,请将xsd的名称指定为"http://apache.org/xml/properties&#x
浏览 4提问于2009-10-27得票数 7
1回答
JAXB 2.0验证问题
、、、
在使用JAXB2.0时,我遇到了一个到目前为止还无法解决的查询,在进行验证时,我有两个选择
1)我一发现错误就抛出异常。2)如果有任何错误或验证,请继续前进,我认为这是最好的方法,因为它有助于显示关于整个XML的所有错误或警告。但是因为这个过程也涉及解组,所以解组意味着它将解组。我提供的XML是to尊重的对象,即使有任何错误或warning.so都意味着额外的工作。我的问题是,这些是一种方法,这样我
浏览 2提问于2010-12-11得票数 1
回答已采纳
2回答
使用模式的JAX-RS响应验证
、、、、
我使用Jersey通过HTTP REST服务发送和接收XML,同时在带JAXB注释的类中表示数据。收到Response后,我所需要做的就是调用response.readEntity(Foo.class),以便将响应解组到Foo的一个实例中。通常,在JAXB解组过程中,您可以使用Schema验证输入,但是在将响应读入实体时,我找不到任何同样的方法。
这对我们来说很重要,因为我们有定义输入格式的XSD文件,并且我们希望根据这些模式进行验证
浏览 0提问于2016-12-08得票数 0
1回答
我只是在研究XML外部实体攻击和远程文件包含攻击。根据我的理解,XML外部实体攻击是指web应用程序中的XML解析器可以选择启用外部实体,攻击者可以从远程服务器解析外部XML并执行命令或读取本地系统文件。虽然远程文件包含攻击是攻击者能够让系统执行位于远程服务器上的文件的地方,但该文件的内容也可能是恶意的,攻击者可以访问系统级别的文件,甚至可以使用
浏览 0提问于2018-01-27得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
