我使用下面的代码通过DocumentBuilderFactory类解决了XML外部实体注入
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
dbf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
dbf.setXIncludeAware(false);
dbf.setExpandEntityReferences(false);
现在,当我使用TransformerFactory类时,我必须解决这个XML外部实体注入。
我在TransformerFactory中找不到这些方法。
setXIncludeAware()和setExpandEntityReferences()
在TransformerFactory类中有什么替代方法?还有其他方法可以通过惠普加强防御吗?
预先感谢