JAX-RPC和Axis2是否内置了对XML injection的支持?
如果没有,我如何添加自定义代码以自行执行转义和模式验证?
编辑:我查看了JAX-RPC生成的代码,看起来代码执行了架构验证 - 这是迈向XML injection保护的一步。
剩下的问题是 - 字符转义怎么样?
关于Axis2 - 我认为它是基于annotations在代表模型的实际bean上完成的 - 所以如果没有限制annotations - 它似乎是{{1}是可能的 - 但我也希望得到专家的回答。
答案 0 :(得分:1)
如果这些技术中的任何一个都容易受到XML注入的影响,我会感到惊讶(顺便说一句,你的意思是XPath注入吗?)。它们构建在JAXP之类的标准Java API上,已经存在了很长时间,并且可以自动转义任何危险字符<,&等。
这并不意味着您不必小心在自己的应用程序中使用这些技术时不会引入注入漏洞。例如,在Java中安全地参数化XPath查询似乎仍然很困难。