java xml与实体之间的转换(附有XXE漏洞解决方案)

已于 2024-01-16 14:56:18 修改
阅读量1.4k 收藏 15
点赞数 41
文章标签: java xml
于 2024-01-09 14:59:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lqr666/article/details/135479382
版权

📢博客主页:折戏花

📢欢迎点赞 👍 收藏 ⭐留言 📝 如有错误敬请指正!

📢本文由折戏花编写,首发于CSDN🙉

平时开发与第三方对接的时候往往会涉及到xml格式的处理,小编这里就记录一下用到的javaBean与xml之间的相互转换

利用JAXB技术实现xml与实体之间的相互转换

1、JAXB介绍

JAXB能够使用Jackson对JAXB注解的支持实现(jackson-module-jaxb-annotations),既方便生成XML,也方便生成JSON,这样一来可以更好的标志可以转换为JSON对象的JAVA类。JAXB允许JAVA人员将JAVA类映射为XML表示方式,常用的注解包括:@XmlRootElement,@XmlElement等等

2、注解

@XmlRootElement注解用于指定类的XML根元素的名称。通过在类上添加该注解,可以将该类映射为XML文档的根元素。使用该注解可以指定根元素的名称,并且可以与其他注解(如@XmlType、@XmlAccessorType、@XmlAccessorOrder等)一起使用

@XmlRootElement(name = "MyRootElement")
public class MyClass {
    // 类的成员变量和方法
}

@XmlAccessorType用于指定类中属性的访问方式。它有以下几个选项:

XmlAccessType.FIELD:表示使用字段访问方式,即直接访问类中的字段。这是默认的访问方式。

XmlAccessType.PROPERTY:表示使用属性访问方式,即通过getter和setter方法访问类中的属性。

XmlAccessType.PUBLIC_MEMBER:表示使用公共成员访问方式,即通过公共字段和公共getter和setter方法访问类中的属性。

XmlAccessType.NONE:表示不使用任何访问方式,即不访问类中的属性。

@XmlAccessorType(XmlAccessType.FIELD)
public class MyClass {
}

@XmlAttribute将JavaBean属性映射到XML属性,通过使用name属性,可以指定该元素在生成的XML中的属性名称

@XmlRootElement(name = "OBJECT")
@XmlAccessorType(XmlAccessType.FIELD)
public class MyClass{
    @XmlAttribute(name = "TYPE")
    private String type;
}

@XmlElement用于在使用JAXB或其他XML绑定技术时,控制Java类与XML数据之间的映射关系,通过使用name属性,可以指定该元素在生成的XML中的名称

@XmlRootElement(name = "Response")
@XmlAccessorType(XmlAccessType.FIELD)
public class MyClass{
    @XmlElement(name = "TYPE")
     private String type;;

}

3、使用示例

工具类

import lombok.extern.slf4j.Slf4j;

import javax.xml.bind.JAXBContext;
import javax.xml.bind.JAXBException;
import javax.xml.bind.Marshaller;
import javax.xml.bind.Unmarshaller;
import java.io.IOException;
import java.io.StringReader;
import java.io.StringWriter;

@Slf4j
public class XmlUtil {

    public static String beanToXml(Object obj, Class<?> load) {
        String xmlStr = null;
        try {
            JAXBContext context = JAXBContext.newInstance(load);
            Marshaller marshaller = context.createMarshaller();
            // 去掉生成xml的默认报文头
            marshaller.setProperty(Marshaller.JAXB_FRAGMENT, true);
            StringWriter writer = new StringWriter();
            marshaller.marshal(obj, writer);
            xmlStr = writer.toString();
        } catch (JAXBException e) {
            log.error("实体转为xml时出错!", e);
        }
        return xmlStr;
    }

    public static Object xmlToBean(String str, Class<?> load) {
        Object object = null;
        try {
            JAXBContext context = JAXBContext.newInstance(load);
            Unmarshaller unmarshaller = context.createUnmarshaller();
            object = unmarshaller.unmarshal(new StringReader(str));
        } catch (JAXBException e) {
            log.error("xml转换到实体时出错,xml信息={},报错信息={}!", str, e);
        }
        return object;
    }
}

实体定义及执行结果展示
@XmlAttribute

@Data
@XmlRootElement(name = "OBJECT")
@XmlAccessorType(XmlAccessType.FIELD)
public class Test {

    @XmlAttribute(name = "ID")
    private String id;
    
    @XmlAttribute(name = "TYPE")
    private String type;
    
}

  public static void main(String[] args) {
        Test test = new Test();
        test.setId("1");
        test.setType("类型");
        String xml = XmlUtil.beanToXml(test,Test.class);
        System.out.println(xml);
        Test newTest = (Test) XmlUtil.xmlToBean(xml,Test.class);
        System.out.println(newTest);
    }

在这里插入图片描述

@XmlElement

@Data
@XmlRootElement(name = "OBJECT")
@XmlAccessorType(XmlAccessType.FIELD)
public class Test {

    @XmlElement(name = "ID")
    private String id;

    @XmlElement(name = "TYPE")
    private String type;

}


public static void main(String[] args) {
        Test test = new Test();
        test.setId("1");
        test.setType("类型");
        String xml = XmlUtil.beanToXml(test,Test.class);
        System.out.println(xml);
        Test newTest = (Test) XmlUtil.xmlToBean(xml,Test.class);
        System.out.println(newTest);
    }

在这里插入图片描述

4、外部实体注入漏洞解决

XML外部实体注入漏洞,即XXE(XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害

将XMLInputFactory.SUPPORT_DTD 和XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES设置为false,禁止DTD


    public static Object xmlToBean(String str, Class<?> load) {
        Object object = null;
        try {
            JAXBContext context = JAXBContext.newInstance(load);
            Unmarshaller unmarshaller = context.createUnmarshaller();
            XMLInputFactory xmlInputFactory = XMLInputFactory.newFactory();
            //禁止DTD,防止XXE漏洞
            xmlInputFactory.setProperty(XMLInputFactory.SUPPORT_DTD, false);
            xmlInputFactory.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);
            final XMLStreamReader xmlStreamReader = xmlInputFactory
                    .createXMLStreamReader(new StringReader(str));
            object = unmarshaller.unmarshal(xmlStreamReader);
        } catch (JAXBException | XMLStreamException e) {
            log.error("xml转换到实体时出错,xml信息={},报错信息={}!", str, e);
        }
        return object;
    }
折戏花
关注
  • 41
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
WEB安全之XXE实体注入漏洞.pdf
12-12
WEB安全之XXE实体注入漏洞
XStream使用方法
scyatcs的专栏
10-11 2万+
一、XStream XStream是一个Java对象和XML相互转换的工具,很好很强大。提供了所有的基础类型、数组、集合等类型直接转换的支持。因此XML常用于数据交换、对象序列化(这种序列化和Java对象的序列化技术有着本质的区别)。
javaxml映射成实体类的操作
qq_33620771的博客
08-10 1094
我这边的原始xml配置 <?xml version="1.0" encoding="UTF-8" standalone="no"?> <krpano title="Virtual Tour" version="1.19"> <include url="skin/vtourskin.xml"/> <!-- customize skin settings: maps, gyro, webvr, thumbnails, tooltips, layo...
用dom4j解析xml文件,并通过反射封装到一个实体类中
JavaAlliance
08-01 1732
首先建立一个maven项目,在pom.xml中引入相应的dom4j的maven依赖 <dependency> <groupId>org.dom4j</groupId> <artifactId>dom4j</artifactId> <version>2.0.1</version> ...
idea正则替换将一级xmljava Bean实体
大泡泡糖的博客
05-14 627
前言 在最近的工作中,项目之间xml格式进行交互的形式,需要写xml对应的实体类,但是字段一个个敲的话太麻烦,就替换一下吧。 步骤 新建实体类文件 复制进来xml字段报文 Crtl + R ,选择Regex 查找: <(\w*)></(\w*)> 替换: @XmlElement(name="$1") private String \l$1; Replace al...
Java对象和XML相互转换
热门推荐
Steven
12-13 5万+
最近在项目中一直出现Java对象和XML之间的相互转换,一开始由于项目很庞大,我又是临时调度过去,导致在按照项目组长的要求进行写代码的同时,总是在这块云里雾里,最近才慢慢开始搞清楚项目中具体的使用缘由。但是项目中封装的代码总是很庞大,因为要考虑太多的东西,而对于此,我只能通过小的Demo来说明,其实在项目中用到很多插件,轻巧,灵便,封装很好使用,但这里我讲解的是JAXB(Java Architecture for XML Binding)。
JavaXml实体
Zhaof_Notes
04-21 2311
JavaXml实体
xml报文Java实体
h_j_c_123的博客
05-25 1786
因为需要对接一些比较老的系统接口,他们的请求方式不是JSON数据结构,一般会采用xml数据结构来作为数据的入参和返参。因为我们的系统是通过JSON数据进行交互的突然接入xml数据结构的会比较的麻烦,麻烦的体现在xml数据结构比较复杂,同时如果采用字符串拼接的话会比较的难以维护。通过JAXBContext来将xml字符串Java实体或者把Java实体xml字符串
XML中添加实体
风随星月
10-06 1005
为文档创建文本宏 许多开发人员在 XHTML 中使用实体代替特殊字符,但是也可以在 XML 中定义实体来简化创作或者引用外部文档的内容。在我们创建文档类型定义(Document Type Definition,DTD)并试图减小它的表面复杂性以便适合人类阅读时,实体也能派上用场。本文将全面介绍 XML 实体,并展示如何在文档中利用它们的优势。 0 评论: Ch
XML 实体
zxpo的专栏
03-24 8893
 第三篇: 学习xml 之"实体"篇         xml包含的7大基础概念:               1、元素  在xmlxml数据划分为不同部分和语义的标签,如:              2、属性  对元素进行描述和修饰。                             3、名称空间    类似于c#中的名称空间,用来隔离相同或不同的元素。      
XXE(XML 实体注入)漏洞攻防分析1
08-08
所以XXE和xss,sqli 等一样都是比较广泛的漏洞,所以从以往发现的漏洞可以看到很多厂商都存在这种漏洞,包括邮箱、门户、通用CMS等,如网易、腾讯邮箱XXE
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
内含xxe漏洞原理,以及该漏洞的多种利用方式,同时根据八个具体案例详细描述漏洞的利用方式。 【想要搭建vulnhub内靶场可关注博主,然后私聊我哦】 同时内含vulnhub中xxe lab:1靶场的过关记录 渗透思路: 由于网站...
未知攻焉知防——XXE漏洞攻防.pdf
09-18
未知攻焉知防——XXE漏洞攻防 自动化 应急响应 云安全 网络信息安全 安全威胁
一文吃透 SpringMVC 中的发和重定向
不迁怒,不贰过。小知识,大智慧。
03-07 3242
1、请求发到其他页面 2、请求发到其他控制器 3、返回 String 时的请求发 4、返回 void 时的请求发 5、请求重定向到其他页面 【1】通过 ModelAndView 中的 Model 携带参数 【2】使用 HttpSession 携带参数 6、请求重定向到其他控制器 【1】通过 ModelAndView 的 Model 携带参数 【2】使用 HttpSession 携带参数 7、返回 String 时的重定向 【1】重定向到页面时携带参数 【2】重定向到控制器时携带参数
JAVAXML解析成实体
weixin_33794672的博客
11-18 1109
大家好,我是成都LD。相信大家会经常遇到XML解析的问题,通常,在我们遇到这类问题时,会使用dom4j或jdom对XML每个节点进行遍历,然后判断某个节点是不是我们所需要的,再进行后续的操作。今天我们介绍如何直接将XML节点映射为实体类的成员变量,即将XML转换JAVA实体类。这里我们用到的是jdk自身带的xjc.exe程序。xjc.exe存在于jdk的bin目录中,如果你...
java 上传读取xml 实体进行保存
z_victoria123的博客
04-01 820
xml文件实体 上传xml文件
JAVAxml数据实体
Superwwz的博客
05-23 3529
java处理xml文件,将内容实体
xml 实体执行命令java xxe
最新发布
01-07
XML实体执行命令漏洞XML External Entity,简称XXE),是指在XML文档的解析过程中,利用实体注入技术来执行恶意命令的一种攻击方式。对于该问题,以下是一个用300字中文回答: XML实体执行命令java xxe是一种漏洞攻击方式。当解析XML时,攻击者通过在XML文档中注入带有恶意代码的实体,可以导致服务器执行恶意命令或读取敏感数据。 在Java中,XXE漏洞可以通过DocumentBuilderFactory解析XML时使用的解析器特性(如“<!DOCTYPE”、“DOCTYPE”和“<ENTITY>”等)来注入实体。攻击者可以构造恶意的XML文档,通过实体注入技术注入包含恶意代码的外部资源引用。当XML文档被解析时,解析器会尝试从外部资源加载实体,如果攻击者在外部资源中包含了一些系统命令,那么这些命令就会被执行。 为防止XXE漏洞,应对输入进行合理过滤和安全处理。可采取以下几种防护措施:1.禁止或限制解析器使用外部实体和外部DTD文件。2.使用安全的解析器,如Woodstox、SAX、SAXON等,它们可以禁用外部实体和DTD。3.对输入进行严格的验证和过滤,确保只接受合法的XML数据。4.采用白名单机制,限制允许的XML元素、属性和实体。 总之,通过对输入进行严格验证和过滤,禁用或限制外部实体和DTD,选择安全的解析器等措施,可以有效防范XML实体执行命令java xxe漏洞带来的危害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

折戏花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值