gpt4 book ai didi

java - JAX-RPC 和 Axis2 是否受到 XML 注入(inject)保护?

转载 作者:行者123 更新时间:2023-11-30 11:53:08 24 4
gpt4 key购买 nike

JAX-RPCAxis2 是否内置了对XML 注入(inject) 的支持?

如果没有,我如何添加自定义代码以自行执行转义和架构验证?

编辑:我查看了 JAX-RPC 生成的代码,看起来代码执行模式验证 - 所以这是防止 的一个步骤XML 注入(inject)。剩下的问题是 - 字符转义怎么样?

关于 Axis2 - 我认为它是基于代表模型的实际 bean 上的 annotations 完成的 - 所以如果没有限制 annotations - 似乎 XML 注入(inject) 是可能的 - 但我也希望专家对此做出回答。

最佳答案

如果这些技术中的任何一种容易受到 XML 注入(inject)的攻击,我会感到惊讶(顺便说一下,您是指 XPath 注入(inject)吗?)。它们建立在 JAXP 等标准 Java API 之上,已经存在了很长时间,并且可以逃避任何危险字符 < , &等自动。

这并不意味着您在自己的应用程序中使用这些技术时不必小心不要引入注入(inject)漏洞。例如,在 Java 中安全地参数化 XPath 查询似乎仍然很困难。

关于java - JAX-RPC 和 Axis2 是否受到 XML 注入(inject)保护?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6493516/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com