解决方案(二)— 将 "http://apache.org/xml/features/disallow-doctype-decl" 设置为“true”时, 不允许使用 DOCTYPE

最新推荐文章于 2024-08-19 12:35:05 发布
最新推荐文章于 2024-08-19 12:35:05 发布
阅读量2.1w 收藏 13
点赞数 3
分类专栏: 解决方案 文章标签: XStream Xml解析 dtd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32331073/article/details/79941132
版权

注意:该异常发生也可以是其他XML解析器,这里以XStream为例。

使用XStream解析xml文件的时候抛出异常:

: org.xml.sax.SAXParseException;将功能 “http://apache.org/xml/features/disallow-doctype-decl” 设置为“真”时, 不允许使用 DOCTYPE。

Caused by: org.xml.sax.SAXParseException; lineNumber: 2; columnNumber: 10; 将功能 "http://apache.org/xml/features/disallow-doctype-decl" 设置为“真”时, 不允许使用 DOCTYPE。
	at com.sun.org.apache.xerces.internal.parsers.DOMParser.parse(DOMParser.java:257)
	at com.sun.org.apache.xerces.internal.jaxp.DocumentBuilderImpl.parse(DocumentBuilderImpl.java:339)
	at com.thoughtworks.xstream.io.xml.DomDriver.createReader(DomDriver.java:108)

"http://apache.org/xml/features/disallow-doctype-decl"设为true

目的是为了禁用xml中的inline DOCTYPE 声明,说白了就是禁用DTD,不允许将外部实体包含在传入的 XML 文档中,从而防止XML实体注入(XML External Entities 攻击,利用能够在处理时动态构建文档的 XML 功能,注入外部实体)。

为了避免XXE injections,应为XML代理、解析器或读取器设置下面的属性:

factory.setFeature("http://xml.org/sax/features/external-general-entities",false);
factory.setFeature("http://xml.org/sax/features/external-parameter-entities",false);

如果根本不需要 inline DOCTYPE 声明,可直接使用以下属性将其完全禁用

factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);

你可能使用的是下面这种方式创建XStream实例,而DomDriver默认禁用了DTD,或者是别的什么xxxDriver,如果出现了该异常,都是默认禁用了DTD,例如:

XStream xstream=new XStream(new DomDriver());//DomDriver默认不支持DTD

你可以使用XppDriver,Xpp3Driver,XppDomDriver等等,默认支持DTD的驱动器来构造实力。

XStream xstream=new XStream();//默认是 new XppDriver()
XStream xstream=new XStream(new Xpp3Driver());
qq_32331073
关注
专栏目录
贝岭的matlab的代码-www-robotrules:解析/robots.txt文件的模块
06-16
下面我们将深入探讨这个MATLAB模块的相关知识点。 首先,了解`robots.txt`文件的基本结构和规则至关重要。它通常包含一系列的“允许”和“禁止”指令,告诉搜索引擎哪些页面可以抓取,哪些应避免访问。例如,通过...
Fortify代码扫描解决方案
weixin_34072159的博客
08-24 5647
Fortify扫描漏洞解决方案: Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要...
Java XML漏洞解决方案
我要MEANING
07-23 2533
1:SAXReader添加 SAXReader saxReader = new SAXReader(false); saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); saxReader.setFeature("http://xml.org/sax/features/external...
org.apache.xmlbeans.XmlOptions.setDisallowDocTypeDeclaration(Z)Lorg/apache/xmlbeans/XmlOptions;
最新发布
qq 117791303
08-19 165
Exception in thread "main" java.lang.NoSuchMethodError: org.apache.xmlbeans.XmlOptions.setDisallowDocTypeDeclaration(Z)Lorg/apache/xmlbeans/XmlOptions;
java fatal error_Java 解析 XML 如何屏蔽掉 “[Fatal Error]” 的输出
weixin_35370032的博客
03-04 1150
我们在用 Java 解析 XML,当文档不是一个合法的 XML ,可能会收到[Fatal Error] 的控制台输出,即使把整个代码都 catch 住,仍然不能抑制住 [Fatal Error] 的信息输出。比如常见到这样的输出:[Fatal Error] :1:1: Content is not allowed in prolog.为什么不能禁掉它呢,本来 catch 了异常对程序已经有了很...
jdom 或 dom4j读取xml文件如何让dtd验证使用本地dtd文件或者不生效
溺水的鱼 - Later equals never.
08-07 2159
一、写在所有之前:因为dom4j和jdom在这个问题上处理的方法是一模一样的,只是一个是SAXBuilder 一个SAXReader,这里以jdom距离,至于dom4j只需要同理替换一下就可以了。、问题发生的情况当你用jdom读取一个有dtd验证的xml文件,同你的网络是不通的情况下。会出现以下错误:1,代码如下package dom;import java.io.File;import 
Java代码漏洞检测-常见漏洞与修复建议
晨港飞燕的专栏
11-19 7497
在工作中,我们的交付团队在交付项目,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
groovy操作xml,获取属性值和标签值并修改
LjingDong的博客
01-11 5749
groovy操作xml,获取属性值和标签值,并将其修改 一、用groovy操作xml,修改xml的值 由于我操作的是plist文件,其中会有IOS的dtdxml验证,解析的候会报错,如下: org.xml.sax.SAXParseException; systemId: file:///Users/guoyf/Desktop/Info.plist; lineNumber: 2; col...
微信支付回调XXL注入
碎片整理
01-24 694
测试方式 给支付回调发送以下数据 <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE Anything [ <!ENTITY entityex SYSTEM "你本地另一个域名"> ]> <a
XML解析器安全配置
loongshawn的博客
08-03 2939
背景说明 应用工程使用XML解析器解析外部传入的XML文件,如果没有做特殊处理,大多会解析XML文件中的外部实体。 如果外部实体包含URI,那么XML解析器会访问URI指定的资源,例如本地或者远程系统上的文件。 该攻击可用于未经授权访问本地计算机上的文件,扫描远程系统,或者导致本地系统拒绝服务。 通过配置XML解析器,禁止加载外部实体。 SAXReader解析器 public static...
关于DOCTYPE
weixin_34419321的博客
02-01 155
轉自:http://www.blueidea.com/tech/web/2007/5172.asp DOCTYPE不可怕,但把它拿走,会让你怕了又怕。 最近在蓝色理想转悠,发现很多朋友提出有关DIV+CSS排版问题,以及IE与FF的兼容问题。怎么问的都有,结果就是一个——显示很奇怪,很难调整。我们浏览的大多数网站,或者用Dreamweaver创建一个新的网页文档,源码的顶部都会有DocT...
禁用XXE处理漫谈
蚁景网安学院
03-10 648
近期准备面试题,XXE漏洞防范措施(或者说修复方式)在一些文章中比较简略,故本文根据研究进行总结,作为技术漫谈罢了。XXE(XML外部实体注入),程序解析XML数据候,同解析了攻击者伪造的外部实体。XML用途是为了跨平台语言传输数据,常常用于WEB开发等。
github-action-disallow-concurrent-runs:禁止并发工作流运行的GitHub动作
05-08
github-action-disallow-concurrent-runs 禁止并发工作流运行的GitHub动作 不幸的是,GitHub Actions目前尚无法对工作流进行排队。 如果您有工作流来部署应用程序,那么它就可以了 :collision: 如果多个部署同...
disallow-new.js:不要让人们在你的函数上使用“new”
06-02
安装npm install disallow-new 用法 import disallowNew from 'disallow-new' ;function MyFactory ( ) { // [SNIP]}export default disallowNew ( MyFactory ) ; 别处: let a = new MyFactory ( ) ; // Errors! ...
robots-parser:支持通配符(*)匹配的NodeJS robots.txt解析器
05-05
机器人解析器 NodeJS robots.txt解析器。 目前支持: 用户代理: 允许: 不允许: 网站地图: ... 'Disallow: /dir/' , 'Disallow: /test.html' , 'Allow: /dir/test.html' , 'Allow: /test.html' ,
dokku-robots.txt:为应用程序创建robots.txt,可以将其设置允许或禁止应用程序使用网络抓取工具
05-16
为应用程序创建 ,可以将其设置允许或禁止对该应用程序进行网络抓取。 这对于部署您不希望被搜索引擎索引的网站很有用。 例如,您可能想部署一个允许使用机械手的生产应用程序,以及一个不允许使用机械手的临...
从原理到实战,详解XXE攻击
华为云官方博客
10-13 571
一站式提供xml外部实体注入攻击的相关基础概念、原理分析、实战演练、安全编码防御以及自动化防御工具。
SAXReader不校验dtd文件
总有一天,你的日积月累,会成为别人的望尘莫及
11-20 1377
今天弄SAXReader读取XML文件老是报错,说某某路径下的200602.dtd文件找不到。我就觉得奇怪:指定目录的确没这个文件,我的整个电脑上都没有这个文件,必然报错很正常,问题是我没让它读取什么dtd文件啊。后来查来查去,返现我要读写的那个xml文件里面有这个一句:!DOCTYPE dmh SYSTEM "200602.dtd"。原来是xml文件的dtd文件校验。 于是网上搜刮了一下...
[JAVA]-xml 防xxe注入 备注
小白的日常记录
09-30 7144
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#SAXBuilder Java的 使用XML库的Java应用程序特别容易受到XXE的攻击,因为大多数Java XML解析器的默认设置是启用XXE。要安全地使用这些解析器,您必须在您使用的解析器中显式禁用XXE。下面介绍如何在最常用的J...
设置reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); 能防止XXE攻击吗
07-15
是的,设置 `reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);` 可以防止 XXE(XML External Entity)攻击。 XXE攻击是一种利用XML解析器的漏洞,通过在XML文档中插入恶意实体引用或外部实体引用,攻击者可以读取敏感文件、执行远程代码等。通过禁用DTD(Document Type Definition)处理,可以有效地防止XXE攻击。 在Java中,使用 `javax.xml.parsers.DocumentBuilderFactory` 来创建XML解析器,然后使用 `javax.xml.parsers.DocumentBuilder` 来解析XML文档。要防止XXE攻击,可以在创建 `DocumentBuilderFactory` 对象后设置相应的特性。 以下是一个示例代码片段,展示了如何设置防止XXE攻击的特性: ```java import javax.xml.parsers.DocumentBuilder; import javax.xml.parsers.DocumentBuilderFactory; public class Main { public static void main(String[] args) { try { DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); DocumentBuilder builder = factory.newDocumentBuilder(); // 继续处理你的XML文档... } catch (Exception e) { e.printStackTrace(); } } } ``` 通过设置上述特性,XML解析器将拒绝处理DTD声明,从而有效地防止了XXE攻击。 请注意,在实际开发中,除了禁用DTD处理,还应该采取其他安全措施,如输入验证、使用白名单过滤等,以确保应用程序的安全性。 希望这可以回答你的问题。如果还有其他疑问,请随提问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值