Java可扩展实体_java – 可以配置JAXB以防止实体扩展攻击吗?

最新推荐文章于 2022-03-12 23:43:06 发布
最新推荐文章于 2022-03-12 23:43:06 发布
阅读量177 收藏
点赞数
文章标签: Java可扩展实体
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36078790/article/details/114969919
版权

通常在

java中解析

XML时,可以通过使用避免成为

entity expansion attacks的受害者

dbf.setFeature(javax.xml.XMLConstants.FEATURE_SECURE_PROCESSING,true);

其中dbf是一个DocumentBuilderFactory,用于创建用于XML解析的DocumentBuilders.

但是,假设我使用JAXB解组某些XML,例如像这样:

final JAXBContext context = JAXBContext.newInstance(MyClass.class);

final Unmarshaller unmarshaller = context.createUnmarshaller();

final MyClass result = (MyClass) unmarshaller.unmarshal(input);

如何配置JAXB以在基础XML解析器上使用FEATURE_SECURE_PROCESSING?

但是,我不想引入XMLStreamFactory等实现,只是为了使实体扩展可配置.有没有办法只使用JAXB API解决这个问题?

Shine Xue
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JAXB- XML外部实体注入安全代码漏洞(XXE)
qq_24702263的博客
05-15 1964
XXE攻击 (XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 具体的可以看:https://blog.csdn.net/qq_24702263/article/details/106137827 JAXB是什么? JAXB实现了java对象与xml之间的转换 package com.jaxb; import java.io.FileInpu
java xml 实体注入_防止 XML外部实体注入
weixin_35193765的博客
02-16 2635
方式一DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();// 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";dbf.setFea...
java 获得xml自定义属性
dency
01-28 546
xmlKit import com.jfinal.weixin.sdk.utils.IOUtils; import org.w3c.dom.Document; import org.w3c.dom.Element; import org.w3c.dom.Node; import org.w3c.dom.NodeList; import org.xml.sax.InputSource; impo...
XXE外部实体注入漏洞的测试和修复——Java
逆水行舟
07-27 5642
测试过程: 代码检测时发现存在XXE问题,可通过自行改造的xml内容,请求存在XXE问题的接口,测试该漏洞。 比如使用如下xml,通过读取document中 testText这个Element,即可获取到test.json中的文件内容: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE entity [ <!ENTITY file SYSTEM "file:///C:/Users/xxx/Desktop/test.json".
XML文件的解析以及XML外部实体注入防护
热门推荐
u013224189的专栏
11-10 3万+
XML外部实体注入 (XXE防护)
[JAVA]-xml 防xxe注入 备注
小白的日常记录
09-30 7068
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#SAXBuilder Java的 使用XML库的Java应用程序特别容易受到XXE的攻击,因为大多数Java XML解析器的默认设置是启用XXE。要安全地使用这些解析器,您必须在您使用的解析器中显式禁用XXE。下面介绍如何在最常用的J...
Java安全编程需要考虑的问题
尘世中迷途小码农的专栏
12-08 4894
这篇文章简要讨论了Java安全编程需要考虑的若干问题,通过对这些问题的深入理解,能够帮助我们在实际编码过程中避免出现安全相关的问题,从而提高代码质量。 由于时间关系,没有给出每个场景的示例代码,仅说明了该场景可能出现的安全问题以及对应的解决办法。 概述 一般而言,安全编程的目标有以下三点: 机密性 完整性 可用性 机密性要求数据不被他人轻易获取,需要进行数据加密。 完整性要求数据不被他人随意修改,需要进行指纹计算。 可用性要求服务不被他人恶意攻击,需要进行数据校验。 在Java中,安全.
JAVA_API1.6文档(中文)
04-12
java.awt.im.spi 提供启用可以与 Java 运行时环境一起使用的输入方法开发的接口。 java.awt.image 提供创建和修改图像的各种类。 java.awt.image.renderable 提供用于生成与呈现无关的图像的类和接口。 java.awt....
java_ee_sdk-5.rar_java ee 5 sdk api_java-ee-sdk api
09-24
Java EE(Java Platform, Enterprise Edition)是Java平台上用于构建企业级应用的一套全面的框架和服务。...通过深入学习和掌握这些API,开发者可以高效地开发出可扩展、健壮且易于维护的Java EE应用。
JAXB_Java Architecture For XML Binding
03-28
- 配置`Marshaller`以禁用不需要的特性,如实体引用扩展。 - 利用`@XmlAnyElement(lax=true)`注解允许XML片段被映射,增加灵活性。 总结来说,JAXB是一个强大的工具,使得Java开发者能够方便地处理XML数据,简化了...
parsexml.zip_Java_
08-10
Java编程语言中,处理XML(可扩展标记语言)文件是一项常见的任务,因为XML作为一种数据交换格式,广泛用于网络通信、配置存储以及数据传输。"parsexml.zip"这个压缩包很可能包含了一些示例代码或者库,帮助开发者...
c.rar_GIS编程_Java_
08-12
- 它具有灵活性和可扩展性,能够表达复杂的空间关系和属性数据。 - GML文件可以包含整个地理信息模型,适合网络传输和存储,但文件通常较大,处理速度相对较慢。 3. **Java在GIS编程中的应用** - Java因为其跨...
MyBatis源码分析,一、XmlConfigBulider
weixin_42875415的博客
03-12 3486
读取配置文件 String resource = "mybatis-config.xml"; InputStream inputStream = Resources.getResourceAsStream(resource); 创建SqlSessionFactory 将读取的配置文件流传给SqlSessionFactoryBulider, SqlSessionFactoryBulider里面内置一个XmlConfigBulider, XmlConfigBulider里内置了一个XPathParse对象,
XMLConstants.FEATURE_SECURE_PROCESSING错误
韩迎宾的博客
07-28 2615
javax.xml.XMLConstants; DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance(); ...... documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true); 使用javax.xml.XMLConstants包中的XMLConstants.FEATUR...
java解决微信支付关于XML解析存在的安全问题
会飞的老王博客
07-05 5605
最近微信支付发了一条通知也就是微信支付暴露除了XXE漏洞  官方文档描述有限 在这里给出详细的微信支付代码关于这个漏洞结合官方sdk的解决方案首先创建XML解析工具类 官方SDK给出(主要是这个来阻止XXE)import org.w3c.dom.Document; import javax.xml.XMLConstants; import javax.xml.parsers.DocumentBu...
记一次线上服务器XXE攻击
qq_33281710的博客
12-10 1545
org.apache.tomcat.util.http.Parameters.processParameters Character decoding failed. Parameter [&lt;?xml version] with value ["1.0" encoding="utf-8"?&gt; &lt;!DOCTYPE root [ &lt;!ENTITY % xxe SYSTEM "...
XML 实体扩展攻击
weixin_34232744的博客
03-24 948
2019独角兽企业重金招聘Python工程师标准>>> ...
防止 XML外部实体注入
gjp014的专栏
09-18 6453
方式一 DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); // 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击 String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl"; ...
setFeature的妙用,解析XML时,外部注入预防即XXE攻击
scmrpu
12-29 1万+
SAX2采用feature和property这两种办法对解析器进行设置。SAX不但没有限制feature的种类,还鼓励其他组织和个人创建自己的feature。这些feature表示解析器的功能,通过设置feature,我们可以控制解析器的行为,例如,是否对XML文件进行验证等等。下面我们演示如何使用feature。XMLReader中有getFeature和setFeature两个方法。getFe
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);dbf.setFeature("http://javax.xml.XMLConstants/feature/secure-processing", true); 这个里面参数是http 确定不联网能用吗
最新发布
06-02
这段代码中的参数确实是使用http协议定义的,但是这不意味着代码需要联网才能运行。这些参数是用于控制XML解析器的行为的,不需要联网即可使用。 实际上,这段代码是在本地使用Java内置的XML解析器,因此不需要联网即可正常运行。只要将这段代码嵌入到你的Java应用程序中,就可以在本地使用它来解析XML文件,从而防止XXE漏洞的利用。 需要注意的是,这段代码只是一种简单的防御措施,如果你的应用程序需要处理大量的XML数据,或者需要保护更敏感的数据,建议采用更为严格的防御措施,例如使用XML安全库或者对XML文件进行数字签名等方式来保护数据的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值