java - SAXParserFactory 是否容易受到 XXE 攻击？-6ren

java - SAXParserFactory 是否容易受到 XXE 攻击？

转载作者：塔克拉玛干更新时间：2023-11-02 19:46:52

28

4

我们使用 javax.xml.parsers.SAXParserFactory 读取我们的 XML 模板文件。如果我们正在读取的 XML 文件中存在 XXE，是否有办法关闭对它的处理？

谢谢 - 戴夫

最佳答案

是的，默认情况下它容易受到 XXE 攻击。

咨询this cheat sheet正确配置解析器:

总而言之，您需要使用 SAXParserFactory.setFeature(foo, bar) documentation 配置相关漏洞

关于java - SAXParserFactory 是否容易受到 XXE 攻击？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/51860873/

28

4

0

文章推荐： java - Kafka 反序列化嵌套泛型类型

文章推荐： java - 如何减少 libgdx 中 2D Sprite 的高 RAM 使用率

文章推荐： java - Spring 启动 + LocalDate : "No primary or default constructor"

java - SAXParserFactory.newInstance() 无法解析为类型
我正在处理一个解析 xml 文件的项目，我在使用 SAXParserFactory 和 DocumentBuilderFactory 时遇到了问题。对于他们两个，当我尝试调用 newInstance(
java - 关闭 SAXParserFactory 的验证
在使用 XML 的 Java 应用程序上，必须在禁用 XML 验证的情况下执行某些测试，以确保 Java 部件在遇到不正确的数据时能够正确运行。我们还需要它来检查旧方法(十多年前编写的)。我试图找到
java - SAXParserFactory URL 超时
我有以下代码: try{ SAXParserFactory spf = SAXParserFactory.newInstance(); SAXParse
java - SAXParserFactory 安全处理功能在 jboss 服务器中不起作用
我正在运行下面的代码片段来启用安全处理功能，并且它在使用 tomcat 服务器的 REST API 中工作正常。但这个相同的代码片段无法使用 JBoss 服务器工作。请建议任何解决方法/修复，因为我
java - SAXParserFactory 与XMLReaderFactory 的区别。选择哪一个？
它们似乎都有相同的目的(创建一个 XMLReader)。一些教程包含一个，一些包含另一个。 SAXParserFactory: http://docs.oracle.com/javase/7/docs
java - SAXParserFactory 是否容易受到 XXE 攻击？
我们使用 javax.xml.parsers.SAXParserFactory 读取我们的 XML 模板文件。如果我们正在读取的 XML 文件中存在 XXE，是否有办法关闭对它的处理？谢谢 - 戴夫
java - Quarkus 1.3 无法实例化 SAXParserFactory
从 Quarkus 1.2.x 升级到 1.3.x 时，我遇到 SAX 解析器问题。在 Quarkus 1.3.x 中失败的 2 个用例:saxon-HE 10.0 通过 XSLT 转换 XML，以
java - 一个 Web 应用程序中特定的多个 SAXParserFactory 实现
我在 tomcat 上有一个 Web 应用程序。该应用程序需要两个 SAXParserFactory 实现:一个是 JDK 默认实现 com.sun.org.apache.xerces.interna
找不到 Java SAXParserFactory 和 XMLParserConfiguration 文件
我正在运行一个应该将图片上传到网站的 java 小程序，上传失败并出现以下异常: java.security.AccessControlException: Access denied (java.
javax.xml.parsers.SAXParserFactory ClassCastException 异常
当通过 maven (mvn test) 运行测试时，我在本地机器上遇到以下异常。 ch.qos.logback.core.joran.event.SaxEventRecorder@195ed659
java - 如何配置 Java 的 SaxParserFactory 以禁用实体检查？
我正在编写一个屏幕抓取应用程序，它可以读取各种页面并提取数据。我正在使用 SAXParserFactory 获取一个 SAXParser，它又为我提供一个 XMLReader。我已经像这样配置了工厂:
java - 当 SAXParserFactory.newSAXParser() 抛出 SAXException 时？
SAXParserFactory.newSAXParser() 抛出 ParserConfigurationException 和 SAXException。在 doc我无法找出应该抛出 SAXExc
java - 添加 META-INF\services\javax.xml.parsers.SAXParserFactory 到 jar
我有一个包含很少类文件的文件夹，我用来创建 jar 的命令是 jar cfm0 my.jar MANIFEST *.class 现在我还想将以下内容添加到 jar META-INF\services\
java - Grails 1.3.7 错误执行脚本 War : Provider for javax. 找不到 xml.parsers.SAXParserFactory
我的问题是我发出的每个 grails 命令，甚至只是 grails help结果是 javax.xml.parsers.FactoryConfigurationError .我想使用 JVM 系统属性
jsf - java.lang.ClassCastException : org. apache.xerces.jaxp.SAXParserFactoryImpl 无法转换为 javax.xml.parsers.SAXParserFactory
我正在尝试在 JBoss AS 6.1.0.Final 上部署 PrimeFaces 5.3 showcase WAR。 http://repository.primefaces.org/org/pr
java.lang.ClassCastException : org. apache.xerces.jaxp.SAXParserFactoryImpl 与 javax.xml.parsers.SAXParserFactory 不兼容
将我的应用程序部署到 websphere 后，我收到以下异常。这是否意味着这些版本彼此不支持？如果需要，我可以发布完整的日志! java.lang.ClassCastException:org.apa
java.util.ServiceConfigurationError : javax. xml.parsers.SAXParserFactory : Provider org. apache.xerces.jaxp.SAXParserFactoryImpl 未找到？
之前任何人都曾遇到过此错误:我做了一些小的更改以确保释放数据库连接池中的连接，运行它并尝试登录并引发此错误。我假设这是服务器端的东西，因为第一行是对 Catalina 的直接引用，但我不太确定从哪里开
java - WAS 8.5 : java. lang.ClassCastException : org. apache.xerces.jaxp.SAXParserFactoryImpl 与 javax.xml.parsers.SAXParserFactory 不兼容
我正在 Websphere Application Server 8.5 中部署 J2EE Web 应用程序。 Web 应用程序有一个与所有第三方库共享的库。所有内部编码库都在 WEB-INF/lib

首页

博学

6Ren·AI

商城

java - SAXParserFactory 是否容易受到 XXE 攻击？