使用默认解析器的JAXB XXE攻击
使用默认解析器的JAXB XXE攻击
提问于 2014-08-09 04:19:16
这是为了在使用JAXB API时避免XXE攻击。我知道在使用JAXB时,可以覆盖默认的解析机制,可以使用替代的SAX解析器,并设置实体特性以避免XXE攻击。但希望了解默认解析器的确切含义,并在其上设置安全特性。有什么帮助吗?
回答 1
Stack Overflow用户
发布于 2014-08-12 02:51:28
您可以通过在禁用外部实体支持的情况下使用StAX解析器来利用JAXB来执行以下操作:
import javax.xml.bind.*;
import javax.xml.stream.*;
import javax.xml.transform.stream.StreamSource;
public class Demo {
public static void main(String[] args) throws Exception {
JAXBContext jc = JAXBContext.newInstance(Customer.class);
Unmarshaller unmarshaller = jc.createUnmarshaller();
XMLInputFactory xif = XMLInputFactory.newFactory();
xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);
XMLStreamReader xsr = xif.createXMLStreamReader(new StreamSource("input.xml"));
Customer customer = (Customer) unmarshaller.unmarshal(xsr);
Marshaller marshaller = jc.createMarshaller();
marshaller.setProperty(Marshaller.JAXB_FORMATTED_OUTPUT, true);
marshaller.marshal(customer, System.out);
}
}页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/25211643
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号