Question

如果在Spring Integration中的传入XML中存在XmlValidatingMessageSelector部分，如何阻止!DOCTYPE中的DTD加载（和验证）？

更新

实际上，在我们的SI配置中，我们有这个过滤器配置

@Bean
public MessageSelector cageXmlValidator() {
    XmlValidatingMessageSelector selector = new XmlValidatingMessageSelector(
            new ClassPathResource("/CageMessage.xsd"),
            XmlValidatingMessageSelector.SchemaType.XML_SCHEMA);
    selector.setThrowExceptionOnRejection(true);
    return selector;
}

并以这种方式在我们的流程中使用它

@Bean
public IntegrationFlow processorFlow(
        ...
        MessageSelector cageXmlValidator,
        Unmarshaller cageXmlUnmarshaller,
        ...) {
    return IntegrationFlows
            .from(cageInputChannel())
            ...
            .filter(cageXmlValidator)
            .transform(new UnmarshallingTransformer(cageXmlUnmarshaller))
            ... 
            .channel(cageOutputChannel())
            .get();
}

我还尝试了这个XmlValidatingMessageSelector定义，但它不起作用

@Bean
public MessageSelector cageXmlValidator() throws Exception {
    XmlValidatingMessageSelector selector = new XmlValidatingMessageSelector(
            new ClassPathResource("/CageMessage.xsd"),
            XmlValidatingMessageSelector.SchemaType.XML_SCHEMA);

    DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
    factory.setNamespaceAware(true);
    factory.setFeature("http://apache.org/xml/features/nonvalidating/load-dtd-grammar", false);
    factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
    selector.setConverter(new DefaultXmlPayloadConverter(factory));

    selector.setThrowExceptionOnRejection(true);
    return selector;
}

Answer 1

我有一个测试用例，如：

@Test
public void testValidMessage() throws Exception {
    Document doc = XmlTestUtil.getDocumentForString("<!DOCTYPE greeting SYSTEM \"greeting.dtd\"><greeting>hello</greeting>");
    GenericMessage<Document> docMessage = new GenericMessage<Document>(doc);
    PollableChannel validChannel = ac.getBean("validOutputChannel", PollableChannel.class);
    MessageChannel inputChannel = ac.getBean("inputChannelA", MessageChannel.class);
    inputChannel.send(docMessage);
    assertNotNull(validChannel.receive(100));
}

请注意MXL代码段中的!DOCTYPE声明。

XmlTestUtil.getDocumentForString()有此代码：

DocumentBuilderFactory builder = DocumentBuilderFactory.newInstance();
builder.setNamespaceAware(true);
builder.setFeature("http://apache.org/xml/features/nonvalidating/load-dtd-grammar", false);
builder.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);


return builder.newDocumentBuilder().parse(
        new InputSource(new StringReader(strDoc)));

最新的load-external-dtd功能完全符合我的需要。

因此，您在应用程序中需要考虑在验证之前提前为您的XML构建Document，并将这些功能用于DocumentBuilderFactory。

<强>更新

使用适当的DefaultXmlPayloadConverter插入自定义DocumentBuilderFactory不会对我们的有效负载产生影响：

validationExceptions = this.xmlValidator.validate(this.converter.convertToSource(message.getPayload()));

convertToSource()的样子：

public Source convertToSource(Object object) {
    Source source = null;
    if (object instanceof Source) {
        source = (Source) object;
    }
    else if (object instanceof Document) {
        source = new DOMSource((Document) object);
    }
    else if (object instanceof String) {
        source = new StringSource((String) object);
    }
    else {
        throw new MessagingException("unsupported payload type [" + object.getClass().getName() + "]");
    }
    return source;
}

如您所见，没有人称之为DocumentBuilderFactory。

我建议您使用.transform()预先.filter(cageXmlValidator)将payload转换为Document对象，并使用自定义的DocumentBuilderFactory。

看到我们不能影响javax.xml.validation.Validator的内部事实这一事实，我认为从验证程序调用{{1}}并将其包装到convertToDocument()中会有很好的妥协。这样，确实，您的DOMSource会产生影响。

随意提出JIRA甚至考虑贡献。

感谢您指出这一点！

在XmlValidatingMessageSelector中关闭DTD加载和验证

1 个答案: