如果我在我的应用程序中使用XmlPullParser,它可能会暴露于" billion laughs"?
等漏洞使用XmlPullParser时应采取哪些安全措施?
答案 0 :(得分:1)
默认情况下,XMlPullParser不会解析实体,因此您不会遇到此类漏洞。但是,您将不得不处理在尝试解析未声明的实体时启动的异常。
要保持此行为,您必须确保在解析任何文档之前将XMlPullParser.FEATURE_PROCESS_DOCDECL设置为false。
还建议不要使用来自未知来源的DTD验证您的XML。最好的方法是在应用程序中使用嵌入式DTD并使用它来验证XML。
您可以在以下链接中找到有关XML Extenal Entities的更多信息: