dom4j解析xml时取消DTD验证

最新推荐文章于 2021-07-13 09:27:57 发布
最新推荐文章于 2021-07-13 09:27:57 发布
阅读量415 收藏 1
点赞数
文章标签: java php
原文链接:http://www.cnblogs.com/boomoom/p/9291772.html
版权

解决方式整合一下,就分两种:

1、用setFeature()

SAXReader reader = new SAXReader();
reader.setValidation(false);    
reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
...

2、用setEntityResolver()

SAXReader reader = new SAXReader();
reader.setValidation(false);
reader.setEntityResolver(new EntityResolver() {
    @Override
    public InputSource resolveEntity(String publicId, String systemId) throws SAXException, IOException {
      return new InputSource(new ByteArrayInputStream("<?xml version='1.0' encoding='UTF-8'?>".getBytes()));
    }
});
...

这个问题,平时不会去注意,这次记录的主要原因是,在做自定义xml文件解析成key-vlue的形式时,发现时间略长,影响体验,故而mark一下。

 

参考:
setFeature的妙用,解析XML时,外部注入预防即XXE攻击

http://xerces.apache.org/xerces-j/features.html

dom4j解析xml-取消doctype中DTD验证设置

 

 XML防止XXE攻击

描述

    https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing

解决方案:

    https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet

    https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#SAXReader

参考:

 XML文件的解析以及XML外部实体注入防护

 

结合来做就是:

spf.setFeature("http://xml.org/sax/features/external-general-entities", false);
spf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
spf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

 

 

 

转载于:https://www.cnblogs.com/boomoom/p/9291772.html

weixin_30760895
关注
xml xml约束 DTD dom解析
adxj46627377的博客
04-24 172
XML: 在XML语言中,它允许用户自定义标签。一个标签用于描述一段数据;一个标签可分为开始标签和结束标签,在开始标签和结束标签之间,又可以使用其它标签描述其它数据,以此来实现数据关系的描述。例如: XML是被设计用来存储数据、携带数据和交换数据的,他不是为了显示数据而设计的。 通过XML,我们可以在不兼容的系统之间交换数据。 XML技术除用于保存有关系的数据之外,它还...
xml解析禁止网上下载dtd
yang1010的专栏
09-25 1015
最近一直在研究xml解析问题,总结了一点小知识,就写下来吧! dom解析,会根据xml文件头的内容网上下载DTD文档,很烦人,速度慢不说,网络如果断了,程序也无法进行了。查了半天资料,终于知道如何解决了。以下为解决方案: 解决方案一: DocumentBuilderFactory builder = DocumentBuilderFactory.newInstance(); builder.se
xml解析禁用dtd 问题_XML问题,使用Python模块xml2sql和dtd2sql
cuyi7076的博客
06-21 742
存档日期:2019年5月15日 | 首次发布:2001年6月1日 较早的专栏文章探讨了通过SQL查询生成XML文档。 现在,David Mertz展示了将XML文档和DTD转换回RDBMS存储格式的相反方向同样可行,但是有其自身的一系列约束和复杂性。 此处讨论的Python公共领域实用程序xml2sql和dtd2sql生成SQL语句,以一致且可逆的方式创建和填充数据库。 七个代码示例演示了...
dom4j解析xml-取消doctype中DTD验证设置
自信工作,自信生活
11-22 460
在编写用dom4j解析iBatis的sqlmap文件,抛出以下异常信息:   org.dom4j.DocumentException: ibatis.apache.org Nested exception: ibatis.apache.orgat org.dom4j.io.SAXReader.read(SAXReader.java:484)at org.dom4j.io.SAXReader....
java解析xml禁止校验dtd
zhoupuyue的专栏
11-16 1306
  import com.sun.org.apache.xerces.internal.impl.Constants; Constants类在%JAVA_HOME%/jre/lib/rt.jar包中 try{ File file = new File(absoluteDbConfigFile); Reader reader = new InputStreamReade...
DOM4J解析XMLDTD路径问题
06-04
### DOM4J解析XMLDTD路径问题 在处理XML文件,经常需要用到DOM4J这样的库来进行解析。当XML文件包含DTD(Document Type Definition)声明DOM4J默认会尝试从指定的URL加载DTD文件来进行验证。这通常是为了...
dtd定义xml dom4j解析xml小类
03-09
DTD 定义 XML DOM4J 解析 XML 小类 XML 文档类型定义(DTD)是用来定义一段合法的 XML 文档块的。它用来验证你的 XML 文档是以一系列合法的元素构成的。DTD 可以在 XML 文档内部定义,也可以通过外部文件的方式引入...
XML解析DTD定义与DOM4J解析实践
通过学习和实践这样的小类,开发者可以更好地理解和掌握XMLDTD验证以及DOM4J库在处理XML文档的强大功能。在实际项目中,这些知识对于处理和验证XML数据至关重要,有助于确保数据的正确性和一致性。
解析xml文件dom4j
07-10
例如,使用DOM4J解析XML文件,你可以创建`Document`对象,然后通过`DocumentBuilderFactory`和`DocumentBuilder`来读取XML文件。在MySQL数据库操作中,可以创建`Connection`对象,使用`Statement`或`...
Java解析xml禁止校验dtd
蛋疼先生的手札
04-27 2548
今天在做log4j.xml解析候,指定了如下的dtd声明:   &lt;!DOCTYPE log4j:configuration SYSTEM "log4j.dtd"&gt; 不过在应用的启动过程中,由于log4j.xml被替换至一个临目录下,而log4j.dtd没有被跟随拷贝过去,导致解析log4j配置的过程中,抛出了如下的异常信息:   2011-04-27 21:27:03....
[转载]解析XML候完全忽略DTD
congji3817的博客
03-25 211
解析XML候完全忽略DTD作者: Cherami 之所以要这么做是因为我们的XML肯定是合法的,不需要验证,另外我们的网络需要代理才能上网,解析候会很慢,不需要解析候运行只要不到一分钟,解析要两分钟以上,有候...
java解析xml 忽略dtd_使用Scala中的XML解析整个文件夹下的xml,并忽略dtd检测
weixin_39869693的博客
03-02 398
需求:快速解析一个文件夹下的所有xml(10年的数据,大概一千万个xml)遇到的坑:xml里面有dtd,必须这个文件存在,不然会报错处理思路:重写原有的方法语言对比:Java处理速度慢,并且代码量大,这儿不做考虑,其次python,由于需要处理的xml太过复杂,python需要写多层嵌套循环,并且不能分布式处理,这儿重点讲一下ScalaScala我么通过scala.xml.XML可以很方便的取出任...
XML/DTD基本用法 DTD禁用的解决方法
热门推荐
heartOfblack 离开了电脑,我不希望我还有病
07-26 1万+
XMLDTD(DTD一般用于某些比较特殊而且固定的行业,使用它是为了规范和硬性规定) (XML常用于一些经常调用的常量且其值并非涉及到安全性的问题,比如游戏中很多参数,怪物的等级,属性,物品的属性等一般使用XML来定义,因为它的数据量特别大,放在数据库的话对数据库的负担较大,而且这些游戏数据只需要在开始的候加载一次就可以了。所以更适合使用XML来完成,,而DTD文件则可以说是XML的一个模板(
Dom4J --- 使用dom4j解析XML候忽略DTD文件
源于热爱的博客
07-13 553
原文:http://www.blogjava.net/rain1102/archive/2009/08/06/290063.html 要这么做是因为Server返回给我们的XML肯定是合法的,不需要验证。 而设置不需要验证,只需要设置DocumentBuilderFactory.setValidating(false)就可以达到效果了,但是解析器还是会读取DTD的,解决的方法是实现EntityResolver接口,具体代码如下: package com.founder.demo; importJa.
jdom 或 dom4j读取xml文件如何让dtd验证使用本地dtd文件或者不生效
溺水的鱼 - Later equals never.
08-07 2166
一、写在所有之前:因为dom4j和jdom在这个问题上处理的方法是一模一样的,只是一个是SAXBuilder 一个SAXReader,这里以jdom距离,至于dom4j只需要同理替换一下就可以了。二、问题发生的情况当你用jdom读取一个有dtd验证xml文件,同你的网络是不通的情况下。会出现以下错误:1,代码如下package dom;import java.io.File;import 
dom4j解析XML忽略DTD请求
小龙
09-18 453
最近在做一个解析XML的功能,功能测试无问题。一次偶然的情况发现在断网情况,老是报解柝失败。研究最后原来是dom解析器在解析XMLDTD,会向DTD上的服务地址请求,在联网环境正常,在断网环境无响应,导致解析失败。研究了相关的API,在百度搜索了一把,找到以下解决方案: 需要设置DocumentBuilderFactory.setValidating(false)就可以达到效果了,但是解析器还...
java dtd验证xml_java 解析xml忽略DTD文件的代码
weixin_33110431的博客
02-16 429
设置不需要验证,只需要设置DocumentBuilderFactory.setValidating(false)就可以达到效果了,但是解析器还是会读取DTD的,解决的方法是实现EntityResolver接口,具体代码如下:import Java.io.ByteArrayInputStream;import Java.io.IOException;import org.xml.sax.Entity...
java解析xml 忽略dtd,解析XML忽略DTD
weixin_34670892的博客
03-02 422
How can I ignore the DTD declaration when parsing file with XOM xml library. My file has the following line ://rest of stuff hereAnd when I try to build() my document I get a filenotfound exception fo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值