我指的是Prevent XXE Attack with JAXB这个链接,
但仍然kiwan工具在xif.createXMLStreamReader(soapHeader.getSource())
行中向我显示非常高的漏洞,所以请帮助我如果有人知道的话。
我的代码如下:
SoapHeader soapHeader = ((SoapMessage) message).getSoapHeader();
XMLInputFactory xif = XMLInputFactory.newFactory();
xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES,false);
xif.setProperty(XMLInputFactory.SUPPORT_DTD, false);
XMLStreamReader soapHeaderXsr = xif.createXMLStreamReader(soapHeader.getSource());
unmarshaller.unmarshal(soapHeaderXsr);
谢谢。
最佳答案
我通过添加额外的 XMLInputFactory 属性解决了这个问题:-
xif.setProperty(XMLInputFactory.SUPPORT_DTD, false);
防止 XXE 最安全的方法始终是完全禁用 DTD(外部实体)。
将 DTD 属性设置为 false 有关更多信息,请参阅此 link .
现在解决我的代码漏洞
谢谢
关于java - 如何使用 JAXB 防止 XML 实体注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58725043/