7月4日微信发来通知说存在XML实体注入漏洞,请修改。
由于自己的后台采取的dom4j的包,而且当时业务也只是对微信传入的xml进行解析处理,所以就直接使用DocumentHelper的parseText的方式进行解析,而没有使用SAXReader的方式进行,在网上搜罗了很多资料,发现处理方式都无法使用。
最后自己在看了dom4j的源代码后,发现DocumentHelper的parseText方法的实现,其实也是SAXReader实现的,再查看SAXReader源码,里面也有一个方式setFeature,于是找到了处理方式
Document doc = null;
SAXReader reader = new SAXReader();
try{
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
}
catch (SAXException e) {
// On Apache, this should be thrown when disallowing DOCTYPE
wtbapi.Log.log("A DOCTYPE was passed into the XML document","GJ.java文件错误2");
}
String encoding = getEncoding(str);
InputSource source = new InputSource(new StringReader(str));
source.setEncoding(encoding);