使用SAX解析器解决解析xml的安全问题

Question

我有一个android应用程序，用户可以输入任何xml源url进行解析。然后，我的应用程序解析xml(如果有效)并显示结果。

问题是，如果用户输入不受信任的xml源url，则应用程序和/或设备可能会受到影响。

识别风险和防止利用的最佳方法是什么？

通过我的研究，我发现启用FEATURE_SECURE_PROCESSING和禁用扩展可能有帮助。但有谁能告诉我它是什么，我如何实现它。

谢谢。

Answer 1

经过调查我发现了这个。我希望这能解决我的问题。

启用FEATURE_SECURE_PROCESSING

SAXParserFactory spf = SAXParserFactory.newInstance();
spf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);

禁用DTD

spf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);

Answer 2

• For SAX和DOM解析器，拒绝DTD应该足够了，正如dcanh121所指出的。

factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl"，true“)；

• For StAX解析器：

factory.setProperty(XMLInputFactory.IS_REPLACING_ENTITY_REFERENCES，false);