以下是我正在使用的DomParser的代码片段,我使用的DomParser是Oracle。
import oracle.xml.parser.v2.DOMParser;
DOMParser domParser = new DOMParser();
domParser.parse(new StringReader(xmlPayload));
Document doc = domParser.getDocument();
doc.getDocumentElement().normalize();
System.out.println("Root element :" + doc.getDocumentElement().getNodeName());
NodeList nList = doc.getElementsByTagName("student");
最近,我们的安全团队已经提出担心上述DOM解析器容易受到安全攻击,并提出了设置两个属性的建议
domParser.setAttribute("RESOLVE_ENTITY_DEFAULT", true);
domParser.setAttribute("DEFAULT_ENTITY_EXPANSION_DEPTH", 150);
但是在设置这些属性时,我收到以下错误,
Exception in thread "main" java.lang.IllegalArgumentException
at oracle.xml.parser.v2.XMLParser.setAttribute(XMLParser.java:870)
at oracle.xml.parser.v2.DOMParser.setAttribute(DOMParser.java:538)
at DomParserExample.main(DomParserExample.java:20)
请告诉我如何防止XML Entity Expansion注入和XXE攻击。我已经尝试过查看OWASP XEE Cheat Sheet并浏览了各种有关XXE攻击的问题和答案,但找不到解决方案。
答案 0 :(得分:1)
尝试
domParser.setAttribute(XMLParser.RESOLVE_ENTITY_DEFAULT, true);
domParser.setAttribute(XMLParser.DEFAULT_ENTITY_EXPANSION_DEPTH, 150);
答案 1 :(得分:0)
此处介绍了在Oracle DOMParser中处理XXE的正确方法。
// Extend oracle.xml.parser.v2.XMLParser
DOMParser domParser = new DOMParser();
// Do not expand entity references
domParser.setAttribute(DOMParser.EXPAND_ENTITYREF, false);
// dtdObj is an instance of oracle.xml.parser.v2.DTD
domParser.setAttribute(DOMParser.DTD_OBJECT, dtdObj);
// Do not allow more than 11 levels of entity expansion
domParser.setAttribute(DOMParser.ENTITY_EXPANSION_DEPTH, 12);
答案 2 :(得分:-1)
使用XMLParser和DOMParser来解决DOM Parser的强化修复程序的maven依赖版本将是什么。