安全的Map转XML方法

最新推荐文章于 2024-05-14 17:00:55 发布
最新推荐文章于 2024-05-14 17:00:55 发布
阅读量99 收藏
点赞数
原文链接:https://my.oschina.net/u/2312080/blog/1843478
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

背景

前两天微信爆出了漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。 前两天微信爆出了漏洞(XXE漏洞),,通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。

原因

此次曝出的漏洞属于XXE漏洞,即XML外部实体注入(XML External Entity Injection)。XML文档处理可以包含声明和元素以外,还可以包含文档类型定义(即DTD);在DTD中,可以引进实体,在解析XML时,实体将会被替换成相应的引用内容。该实体可以由外部引入(支持http、ftp等协议,后文以http为例说明),如果通过该外部实体进行攻击,就是XXE攻击。 可以说,XXE漏洞之所以能够存在,本质上在于在解析XML的时候,可以与外部进行通信;当XML文档可以由攻击者任意构造时,攻击便成为可能。在利用XXE漏洞可以做的事情当中,最常见最容易实现的,便是读取服务器的信息,包括目录结构、文件内容等;本次微信支付爆出的漏洞便属于这一种。

解决方案

禁止解析XML时访问外部实体即可

代码实现

package com.koolyun.eas.account.util;

import org.w3c.dom.Document;

import javax.xml.XMLConstants;
import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.ParserConfigurationException;
import javax.xml.transform.OutputKeys;
import javax.xml.transform.Transformer;
import javax.xml.transform.TransformerFactory;
import javax.xml.transform.dom.DOMSource;
import javax.xml.transform.stream.StreamResult;
import java.io.StringWriter;
import java.util.Map;

public class XmlUtil {
    /**
     * 将Map转换为XML格式的字符串
     *
     * @param data Map类型数据
     * @return XML格式的字符串
     * @throws Exception
     */
    public static String mapToXml(Map<String, String> data) throws Exception {
        org.w3c.dom.Document document = newDocument();
        org.w3c.dom.Element root = document.createElement("xml");
        document.appendChild(root);
        for (String key: data.keySet()) {
            String value = data.get(key);
            if (value == null) {
                value = "";
            }
            value = value.trim();
            org.w3c.dom.Element filed = document.createElement(key);
            filed.appendChild(document.createTextNode(value));
            root.appendChild(filed);
        }
        TransformerFactory tf = TransformerFactory.newInstance();
        Transformer transformer = tf.newTransformer();
        DOMSource source = new DOMSource(document);
        transformer.setOutputProperty(OutputKeys.ENCODING, "UTF-8");
        transformer.setOutputProperty(OutputKeys.INDENT, "yes");
        StringWriter writer = new StringWriter();
        StreamResult result = new StreamResult(writer);
        transformer.transform(source, result);
        String output = writer.getBuffer().toString(); //.replaceAll("\n|\r", "");
        try {
            writer.close();
        }
        catch (Exception ex) {
        }
        return output;
    }

    public static DocumentBuilder newDocumentBuilder() throws ParserConfigurationException {
        DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
        documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        documentBuilderFactory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
        documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
        documentBuilderFactory.setXIncludeAware(false);
        documentBuilderFactory.setExpandEntityReferences(false);

        return documentBuilderFactory.newDocumentBuilder();
    }

    public static Document newDocument() throws ParserConfigurationException {
        return newDocumentBuilder().newDocument();
    }

}

转载于:https://my.oschina.net/u/2312080/blog/1843478

weixin_34167043
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mapxml格式字符串
weixin_45151960的博客
05-28 1112
这两种方式只能从Map<String,String>格式xml格式 第一种: public static String mapToXml(Map<String, String> data) throws Exception { DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance(); DocumentBuilder documentBu
Transformations on DStreams之transform的使用 实现黑名单操作/指定过滤
qq_43688472的博客
01-23 405
Transformations on DStreams之transform 实现黑名单操作/指定过滤 官网:http://spark.apache.org/docs/latest/streaming-programming-guide.html#transformations-on-dstreams transform(func) Return a new DStream by applying...
map对象换成xml
weixin_33826268的博客
04-09 211
1. @XmlAccessorOrder.UNDEFINEDXmlAccessorOrder.UNDEFINED无序 @XmlAccessorOrder.ALPHABETICAL是指按属性的字母顺序排序。2. @XmlType的propOrder 属性时,必须列出JavaBean对象中的所有属性,否则会报错 @XmlType(propOrder = { "id", "...
Java MapXML
最新发布
m0_47616061的博客
05-14 541
项目中需要将传递的xml格式化成map进行处理,同时也需要将map还原成xml。由于多处使用,所以封装成工具类可直接使用。除fastjson外无需引入其他依赖。
Map换成xml
06-14
Map换成xml
Java高级特性-第6章:XML技术
qq_42263859的博客
07-12 855
Java高级特性-第6章:XML技术
mapxml文件源代码
02-21
主要用于mapxml格式上传,包括MD5加密工具,向服务器发送POST请求
java一键xmlmap,一键mapxml工具类
10-10
在实际使用`EasyXmlUtil`时,只需简单调用`xmlToMap`和`mapToXml`方法,即可完成XMLMap之间的换。例如: ```java Map, String> map = EasyXmlUtil.xmlToMap(xmlString); String xmlString = EasyXmlUtil....
xmlmap相互
03-07
xmlmap换 这个应用的情况并不多见,一般都在两个系统间沟通的时候会有xml和json的相互换。因为map和json是天生可相互换的,所以这里只有xml能和map进行换,那json就不是问题了。
Java xml map
06-21
在描述中提到的“递归 XML MAP”,是指XML文档可能存在嵌套结构,递归方法是处理这种结构的有效手段。递归意味着函数调用自身来处理XML元素的子节点,直到所有节点都被遍历并换为Map结构。 以下是一个简化的...
java将xml换成Map类型
09-08
xml换成Map类型,如果有重复节点,自动换为list类型存储,所以最终换并非绝对Map
Mapxml
m0_46742141的博客
06-05 1104
package com.util; import org.dom4j.Document; import org.dom4j.DocumentException; import org.dom4j.DocumentHelper; import org.dom4j.Element; import java.util.HashMap; import java.util.List; import java.util.Map; import java.util.Set; public class xmlMap
使用Transformer更新XML
一名菜鸟攻城师
07-27 777
[code="java"] package com.hqh.stax; import java.io.InputStream; import javax.xml.parsers.DocumentBuilder; import javax.xml.parsers.DocumentBuilderFactory; import javax.xml.transform.OutputKey...
java中利用javax.xml.transform.Transformer将xml通过xsl样式化成html
热门推荐
u010523770的专栏
06-01 1万+
http://vbtboy.iteye.com/blog/619058 注意,需要你自己新建一个下面代码中出现的目录, d:\study\xml2html\xsl      d:\study\xml2html\xml d:\study\xml2html\result 然后放入你写好的xsl文件和xml在对应的目录下面,运行main方法就可以了。 代码如下:
java DOM和XML
weisian的博客
07-29 2537
版权声明:本文为博主原创文章,未经博主允许不得载。 Java使用面向对象将XML文件进行抽象,封装成了Document对象。将XML文件换为Document文档的过程以及对应的Java代码: 1)获取Document的构造器工厂实例 DocumentBuilderFactory dbf=DocumentBuilderFactory.newInstance();
JAVA利用XSLT进行格式换,XML成自己需要的XML、HTML等。
baijianjun123456的博客
12-18 1万+
JAVA利用XSLT进行格式换,XML成自己需要的XML、HTML等。
ABAP 格式与JSON和XML格式互
weixin_42646630的博客
06-09 3008
對transformation的方式生成XML文件,方法有多種:我常用的一般有兩種:call transformation 的方式或者cl_proxy_xml_transform=>abap_to_xml_xstring的方式: 方式一:call transformation DATA: lo_writer TYPE REF TO cl_sxml_string_writer. lo_writer = cl_sxml_string_writer=>create( typ
实现将xmlMap互相换的方法
face light~
04-19 2255
1 使用vtd技术将xml换为Map    1)引入maven依赖:        &lt;dependency&gt;            &lt;groupId&gt;com.ximpleware&lt;/groupId&gt;            &lt;artifactId&gt;vtd-xml&lt;/artifactId&gt;            &lt;version&gt...
mapxml字符串
05-26
在上面的示例代码中,我们定义了一个mapToXml方法,接受一个Map, String>类型的参数,并返回一个符合XML格式的字符串。我们遍历Map的每个键值对,将键作为XML节点名,值作为XML节点的文本内容,最终将所有节点拼接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值