Disable access to external entities in XML parsing
- 使用SAXReader读取XML数据
SAXReader saxReader = new SAXReader();Document userDocument = null;try {// 读取xml数据为Document对象Document document = saxReader.read(new ByteArrayInputStream(xmlData.getBytes(StandardCharsets.UTF_8)));String signatureContent = document.getRootElement().element("signatureContent").getData().toString();// Base64解析获取数据byte[] byteData = Base64.decode(signatureContent);String data = new String(byteData, StandardCharsets.UTF_8);userDocument = saxReader.read(new ByteArrayInputStream(data.getBytes(StandardCharsets.UTF_8)));} catch (DocumentException e) {}
- 使用SonarLint扫描代码提示Disable access to external entities in XML parsing,提示风险禁止在XML解析中访问外部实体
// 关闭DTD解析SAXReader saxReader = SAXReader.createDefault();Document userDocument = null;try {// 读取xml数据为Document对象Document document = saxReader.read(new ByteArrayInputStream(xmlData.getBytes(StandardCharsets.UTF_8)));String signatureContent = document.getRootElement().element("signatureContent").getData().toString();// Base64解析获取数据byte[] byteData = Base64.decode(signatureContent);String data = new String(byteData, StandardCharsets.UTF_8);userDocument = saxReader.read(new ByteArrayInputStream(data.getBytes(StandardCharsets.UTF_8)));} catch (DocumentException e) {result.addElement("status").addText("1");result.addElement("failReason").addText(e.getMessage());log.error("解析xml数据失败: " + e.getMessage(), e);}
使用SAXReader.createDefault()来生成解析器,里面设置关闭了DTO解析。
Disable access to external entities in XML parsing相关推荐
- XML External Entities 攻击(XML外部实体注入)
使用配置的 XML 解析器无法预防和限制外部实体进行解析,这会使解析器暴露在 XML External Entities 攻击 之下 说明: XML External Entities 攻击可利用能够 ...
- XML Parsing in a Producer-Consumer Model
XML Parsing in a Producer-Consumer Model mem_fox 翻译 (参与分:425,专家分:410) 发表:2003-11-10 下午11:16 版本: ...
- XML Parsing Error: mismatched tag. Expected
用Firefox不愧为技术呆子,哪怕是一个HTML标签部规范,都会给出ERROR MESSAGE. Long long ago 习惯用IE开发,自从chrome诞生后,慢慢chrome赶走了IE,偶尔 ...
- Lab: Exploiting XXE using external entities to retrieve files:利用外部实体利用 XXE 来检索文件...
利用XXE检索文件 要执行从服务器的文件系统中检索任意文件的 XXE 注入攻击,您需要通过两种方式修改提交的 XML: 引入(或编辑)DOCTYPE定义包含文件路径的外部实体的元素. 编辑应用程序响应 ...
- 【FreeSwitch开发实践】死锁问题解决Over Session Limit 1000/Locked, Waiting on external entities
- OWASP - 2021
OWASP介绍 官网:http://www.owasp.org.cn/ OWASP是一个开源的.非盈利的全球性安全组织,致力于应用软件的安全研究.我们的使命是使应用软件更加安全,使企业和组织能够对应用 ...
- 【共读】企业信息安全建设与运维指南(二)
接上篇继续往下:[共读]企业信息安全建设与运维指南(一) 三.IDC基础安全体系建设: IDC(Internet Data Center)即互联网数据中心,为企业用户或客户提供服务,如网站应用服务.A ...
- Parsing XML in J2ME
sun的原文,原文地址是http://developers.sun.com/mobility/midp/articles/parsingxml/. by Jonathan Knudsen March ...
- 4.XXE (XML External Entity Injection)
XXE (XML External Entity Injection) 0x01 什么是XXE XML外部实体注入 若是PHP,libxml_disable_entity_loader设置为TRUE可 ...
- bWAPP解题笔记——A7-Missing Functional Level Access Control
A7--Missing Functional Level Access Control 应用层访问控制缺失. Directory Traversal - Directories low 未对输入的目录 ...
最新文章
- ROS系统 实现客户端Client和服务端Server
- Linux下Nginx编译安装后的开机自启动设置
- springmvc教程--快速入门教程
- mysql 自身参照自身_mysql个人散乱笔记,慎重参考
- 如何卸载非linux系统分区,如何卸载Linux系统分区?卸载Linux系统分区的方法-站长资讯中心...
- 手机游戏行业洗牌在即 成本增长小团队出局
- 解锁WPS企业版,去广告,享会员服务
- RocksDB调优指南
- 人脸识别系统 讲解以及环境搭建(Java 附源码)
- ubuntu嵌入式linux实训报告总结,利用ubuntu建立嵌入式linux开发环境的总结
- Excel对比数据差异方法总结
- 4G模块Air720系列 android RIL驱动源码发布
- pdf转图片 jpg png
- 新浪微博开放平台开发-android客户端(1)
- 各种浏览器兼容性报告大全
- zabbix短信告警oracle,zabbix自定义脚本实现短信报警提醒
- 花 作品php,《不谢之花》作品赏析
- 使用git中rebase遇到的坑二 could not apply xxxx
- Maven之pom.xml配置文件详解
- 【分享】ArcGIS 根据DEM生成等高线以及带高程转换为Auto CAD数据
热门文章
- ANSYS ICEM CFD三维结构网格生成实例——汽车外流
- String spilt()方法
- android手机 滚动截屏,安卓手机如何滚动截屏?看完图解一秒学会!
- AssertionError: Torch not compiled with CUDA enabled问题
- 小鸟云服务器怎么进行启动和关机?
- 身份证,银行卡,姓名用*号隐藏中间数字
- VirtulBox安装虚拟机(鼠标点击时)0x00000000指令引用的0x00000000内存该内存不能为written错误解决方案
- Windows直接访问WSL2路径并直接进行读写操作,权限不足的问题
- rtmp协议分析(Message 消息,Chunk分块)
- python里逗号是啥_Python中逗号的三种作用