我们在spring boot + spring集成中有一个应用程序,我们正在尝试介绍XXE攻击预防。
在Java代码中,我们可以根据以下链接https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#SAXTransformerFactory进行更改
我在github中有示例工作示例,其中应用程序使用活动mq作为队列管理器。
sample input xml
我可以在上面的示例中进行哪些更改以启用XXE预防。
请帮助我。
最佳答案
这更是一个普遍的答案。 。 。
您可以简单地将自己的转换器实现作为Bean引入,而不是使用提供的XSLT转换器
<int:transformer. . .>
<bean class=".."/>
</int:transformer>
这样,您就可以完全控制这些类型的自定义