通常在
java中解析
XML时,可以通过使用避免成为
entity expansion attacks的受害者
dbf.setFeature(javax.xml.XMLConstants.FEATURE_SECURE_PROCESSING,true);
其中dbf是一个DocumentBuilderFactory,用于创建用于XML解析的DocumentBuilders.
但是,假设我使用JAXB解组某些XML,例如像这样:
final JAXBContext context = JAXBContext.newInstance(MyClass.class);
final Unmarshaller unmarshaller = context.createUnmarshaller();
final MyClass result = (MyClass) unmarshaller.unmarshal(input);
如何配置JAXB以在基础XML解析器上使用FEATURE_SECURE_PROCESSING?
但是,我不想引入XMLStreamFactory等实现,只是为了使实体扩展可配置.有没有办法只使用JAXB API解决这个问题?