我看到了很多使用XMLInputFactory,SAXParser和DocumentBuilderFactory的解决方案。我们的项目是春季网络服务,我们唯一做的就是:
@Bean
public Jaxb2Marshaller unmarshaller() {
Jaxb2Marshaller unmarshaller = new Jaxb2Marshaller();
unmarshaller.setContextPath("foo");
unmarshaller.setProcessExternalEntities(false);
return unmarshaller;
}
然后我们将这个marshaller和unmarshaller传递给MarshallingPayloadMethodProcessor。所以我的问题是,如果Jaxb2Marshaller有一些属性可以阻止DTD。类似于:unmarshaller.setProperty(foo.SUPPORT_DTD, false);
我们有.xsd架构但是在xml bomb的情况下,实体需要被扩展用于验证,所以看起来这不是解决方案。
答案 0 :(得分:1)
从代码中我可以看出,这必须是默认行为。
在JAXB RI中,有一个上下文属性com.sun.xml.bind.disableXmlSecurity,默认情况下为reasonably set to false。 JAXB RI在creates the parser时使用此属性。因此,最后它configures解析器的FEATURE_SECURE_PROCESSING功能:
SAXParserFactory factory = SAXParserFactory.newInstance();
if (LOGGER.isLoggable(Level.FINE)) {
LOGGER.log(Level.FINE, "SAXParserFactory instance: {0}", factory);
}
factory.setNamespaceAware(true);
factory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, !isXMLSecurityDisabled(disableSecureProcessing));
return factory;
您还可以使用系统属性javax.xml.accessExternalDTD。
另见答案:
如果您想让它更安全,您可以编写和配置自己的entity resolver。