个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
我使用非验证读取来显示或处理不受信任的 XML 文档,我不需要支持内部实体,但我确实希望能够处理,即使显示了 DOCTYPE。
随着disallow DOCTYPE-decl feature SAX 我可以确保解析 XML 文档没有外部实体或 billion laughter DOS 扩展的风险。这也是OWASP XXE prevention cheat-sheet推荐的.
XMLReader reader = XMLReaderFactory.createXMLReader();
reader.setFeature("http://apache.org/xml/features/continue-after-fatal-error", true);
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
// or
reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
然而不幸的是,当给出 DOCTYPE 时,这会中止解析:
org.xml.sax.SAXParseException; systemId: file:... ; lineNumber: 2; columnNumber: 10;
DOCTYPE is disallowed when the
feature "http://apache.org/xml/features/disallow-doctype-decl" set to true.
如果我忽略这个 fatal error ,那么它将愉快地解析内部实体,正如您在此处看到的:https://gist.github.com/ecki/f84d53a58c48b13425a270439d4ed84a
我想知道,是否存在功能组合,以便我可以阅读但不评估文档类型声明(尤其是避免递归扩展)。
我希望避免定义我自己的特定于 Apache 的 security-manager 属性或特殊的解析器。
最佳答案
根据 core-lib-dev XMLReaderFactory 将在 Java 9 中弃用,获取 XMLReader 的方法将是使用 SAX 解析器。
在那种情况下FSP可以使用(它建立了一些资源限制并删除了 ACCESS_EXTERNAL_DTD 和 _SCHEMA 的远程架构处理程序):
SAXParserFactory spf = SAXParserFactory.newInstance();
spf.setXIncludeaware(false);
// when FSP is activated explicit it will also restrict external entities
spf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
XMLReader reader = spf.newSAXParser().getXMLReader();
关于java - 忽略 XMLReader (XXE) 中的 XML 文档类型声明,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40223052/
27
4
0
我想将使用 .Net Compact Framework 3.5 制作的 Windows Mobile 应用程序降级到 .Net Compact Framework 2.0 SP2。 但是...我不知
我正在尝试从 xml 字符串中读取但是, ` XmlReader reader=XmlReader.Create(new StringReader(stringXml)` 读者总是没有。为什么没有
在以下代码段中,当我遇到一个元素时,使用 XmlReader。我想按原样阅读它,包括元素中的所有属性和命名空间装饰。使用 oXml.Name 属性,我只能获取标签名称。是否有获取标签本身的功能? oX
这可能是一个关于 XmlReader 的幼稚问题,但我还没有在 MSDN 文档中找到答案。 假设我有 XSD SchemaTest.xsd
我想做这样的事情: stringBuilder.AppendLine(" globalVar." + reader.GetAttribute(i).Name + " = " + reader[i]
使用 XMLReader 方法解析 XML 文件时,如何获取元素的父节点? $xml = new XMLReader(); $xml->XML($xmlString); while($xml->rea
这很奇怪。我有一个 WCF Message我正在尝试将正文的内容读入 XmlDocument。消息正文的内容在网络上看起来像这样(在打开 WCF 跟踪的情况下进行检查): (GMT-05:0
我有一个 Xml 文档,其中一些元素如下所示: W X Y Z ABC 我的目标是从上面的例子中得到“ABC”。我尝试查看 XmlElement 类中的 InnerText(返回“WXYZABC”
我有以下代码: for (i = 1; i <= loopsNeeded; i++) { lblCurrent.Text = string.Format("{0} of
我正在尝试将 xml 加载到 XDocument 对象中。 public void ValidateRules(XmlReader xml) { xml.MoveToContent();
我必须为我的商店解析 3 个远程 XML 文件(产品、价格、类别),其中最大的大约有 500MB+。我必须解析它们并插入到 mysql 数据库中。 我可以从两种格式中选择 所有 3 个 XML 文件压
我正在尝试使用 XMLReader ( https://github.com/amarcadet/XMLReader ) 在 objective-c 中制作一个将解析 xml 文档的应用程序:
代码如下: string str = "AppleMango"; using (XmlReader xmlReader = XmlReader.Create(new StringReader(str)
我了解我们如何使用如下代码示例.. public class Sample { public static void Main() { using (XmlReader
我正在使用 XmlReader 读取非常大的 XML 文件(超过 6GB 的数据)以加快一切速度并且工作得非常好。 我在另一个线程中执行此操作(不使用后台工作程序)并且我不知道如何更新进度条,因为 X
关注此introduction可以通过导入命名空间 System.Xml 来使用 XMLReader 类。在我的 Visual Studio 项目中,我使用 .NET 4.0,但 System.Xml
我正在使用以下代码使用 XmlReader 读取一些 XML: XmlReaderSettings settings = new XmlReaderSettings(); settings.Valid
好的,所以我有这个 XML 文件: Iron Repeater true 19 19 50 18 1 1 5 39
为什么我应该将 XMLReader 与 SAXParser 一起使用?我经常看到这种用法: sp = spf.newSAXParser(); XMLReader xr
我有这个 xml 文件。 8.582207 3 true
我是一名优秀的程序员,十分优秀!