我的问题:
Fortify 4.2.1 将以下代码标记为易受 XML 外部实体攻击。
TransformerFactory factory = TransformerFactory.newInstance();
StreamSource xslStream = new StreamSource(inputXSL);
Transformer transformer = factory.newTransformer(xslStream);
我试过的解决方法:
将
XMLConstants.FEATURE_SECURE_PROCESSING的 TransformerFactory 功能设置为 true。研究了向 TransformerFactory 提供更多此类功能的可能性,就像我们为 DOM 和 SAX 解析器所做的那样。例如不允许文档类型声明等。但 TransformerFactoryImpl 似乎不接受任何其他
XMLConstants.FEATURE_SECURE_PROCESSING。 Impl Code
请向我指出您认为我可能没有通过的任何资源或此问题的可能解决方案。
最佳答案
TransformerFactory trfactory = TransformerFactory.newInstance();
trfactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
trfactory.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
trfactory.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");
我认为这就足够了。
Fortify 会建议以下功能,但这些功能不适用于 TransformerFactory
factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
我们可能需要更改为不同的解析器才能使用它们。
关于java - 如何防止 TransformerFactory 上的 XML 外部实体注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32178558/