JAXB解组:意外元素

时间:2018-12-14 14:42:55

标签: java xml jaxb

背景

我正在使用JAXB将XML解组到Java对象中。最初,我只是使用JAXB来执行解组。然后对代码进行了静态分析,并提出了XML外部实体注入的高关键性问题。经过一番研究,我发现了一个建议(https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#JAXB_Unmarshaller),该建议使用配置为防止外部实体被解析的解析器。提供了一个操作示例:

//Disable XXE
SAXParserFactory spf = SAXParserFactory.newInstance();
spf.setFeature("http://xml.org/sax/features/external-general-entities", false);
spf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
spf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

//Do unmarshall operation
Source xmlSource = new SAXSource(spf.newSAXParser().getXMLReader(), new InputSource(new StringReader(xml)));
JAXBContext jc = JAXBContext.newInstance(Object.class);
Unmarshaller um = jc.createUnmarshaller();
um.unmarshal(xmlSource);

我没有按照显示的那样做,但是我相信我实际上做了同样的事情:

XMLReader reader = getXMLReader();

if (reader == null) {
  logger.warn("Unable to create XML reader");
  return;
}

JAXBContext context = JAXBContext.newInstance(messageClass);
Unmarshaller unmarshaller = context.createUnmarshaller();

for (File file : files) {
  try {
    InputSource source = new InputSource(new FileReader(file));
    Source xmlSource = new SAXSource(reader, source);
    JAXBElement<? extends BaseType> object =
        (JAXBElement<? extends BaseType>) unmarshaller.unmarshal(xmlSource);
    messages.add(object.getValue());
  } catch (FileNotFoundException e) {
    logger.error("Exception", e);
  }
}

...

private XMLReader getXMLReader() {
    SAXParserFactory factory = SAXParserFactory.newInstance();

    try {
      factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
      factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
      factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
    } catch (SAXNotRecognizedException | SAXNotSupportedException
        | ParserConfigurationException e) {
      logger.error("Exception", e);
    }

    XMLReader reader = null;

    try {
      reader = factory.newSAXParser().getXMLReader();
    } catch (SAXException | ParserConfigurationException e) {
      logger.error("Exception", e);
    }

    return reader;
}

问题

实施更正后,当程序尝试以XML读取时,我现在收到一个非编组异常:

javax.xml.bind.UnmarshalException: unexpected element (uri:"", local:"ns1:TypeXYZ"). Expected elements are <{protected namespace URI}TypeABC>,...<{protected namespace URI}TypeXYZ>,...

在上面仅使用JAXB解组的上述修复之前,它能够正确解析提供的XML。

我假设SAX解析器期望XML提供缺少的额外信息,或者需要对其进行配置以忽略它抱怨的内容。我尝试了其他一些“功能”(http://xml.org/sax/features/namespace-prefixes=truehttp://xml.org/sax/features/validation=false),但这并不能解决问题。

我无法控制定义XML类型的XML模式,也无法控制相应Java类的生成方式。

任何能帮助我了解正在发生的事情以及能帮助我解决此问题的信息,将不胜感激。

1 个答案:

答案 0 :(得分:1)

经过一些试验,我可以通过设置以下功能来解决该错误:

factory.setFeature("http://xml.org/sax/features/validation", false);
factory.setFeature("http://xml.org/sax/features/namespaces", true);
factory.setFeature("http://xml.org/sax/features/namespace-prefixes", true);
相关问题
最新问题