是否可以以某种方式防止对部署在 jboss 4.2 上的 Web 服务进行 xxe 攻击? WS是通过注解来定义的。我找不到任何配置来禁用支持外部实体和 dtd。
这篇文章 ( Prevent XXE Attack with JAXB ) 是一个在 servlet 中解析肥皂的解决方案,但我需要一些用于带注释的 WS 的东西。
最佳答案
经过长时间的调试 jboss 代码,我找到了针对 jboss 4.2.2 的 XXE 攻击的修复
在 DOMUtils.class(位于 jbossws-common.jar 中)中,我在 DocumentBuilderFactory 实例上添加了额外的功能:
factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
它解决了问题。
关于java - 防止jboss 4.2上的XXE攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31537423/