我使用WSDLReader.readWSDL()创建Wsdl定义。 我想知道javax.wsdl.WSDLReader中是否有可用的标志来检查WSDL中的XXE攻击?
答案 0 :(得分:0)
在Java中,您需要明确地将其关闭。请尝试下面的功能链接将其关闭 https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#XMLReader
从上面提供的链接添加与要关闭的标志相关的代码:
XMLReader spf = XMLReaderFactory.createXMLReader();
spf.setFeature("http://xml.org/sax/features/external-general-entities", false);
spf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
spf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd",false);