我们使用javax.xml.parsers.SAXParserFactory读取XML模板文件。如果我们正在读取的XML文件中有XXE,是否有办法关闭对此的处理?
谢谢-戴夫
最佳答案
是的,默认情况下,它容易受到XXE攻击。
请咨询this cheat sheet以正确配置解析器:
总结一下,您将需要使用SAXParserFactory.setFeature(foo,bar)documentation配置相关漏洞。
我们使用javax.xml.parsers.SAXParserFactory读取XML模板文件。如果我们正在读取的XML文件中有XXE,是否有办法关闭对此的处理?
谢谢-戴夫
最佳答案
是的,默认情况下,它容易受到XXE攻击。
请咨询this cheat sheet以正确配置解析器:
总结一下,您将需要使用SAXParserFactory.setFeature(foo,bar)documentation配置相关漏洞。