我在强化报告中得到了第4行的XML外部实体注入安全警告。不知道如何解决它。我是SOAP,JAXB和Marshaller的新手。
1 private TargetObject convert( ResponseEntity<String> response ) throws JAXBException{
2 JAXBContext jaxbContext = JAXBContext.newInstance( TargetObject.class );
3 Unmarshaller unmarshaller = jaxbContext.createUnmarshaller();
4 StringReader reader = new StringReader( Objects.requireNonNull( response.getBody() ) );
5 TargetObject targetObject = (ArrayOfOrderList) unmarshaller.unmarshal( reader );
6 return targetObject;
7 }
第4行(XML外部实体注入)高
发行细节
王国:输入验证和表示
扫描引擎:SCA(语义)
水槽细节
接收器:unmarshal()
提前致谢!
最佳答案
我建议您阅读:OWASP XXE Prevention Cheat Sheet。这将为您提供解决方案