• 使用SAXReader读取XML数据

     SAXReader saxReader = new SAXReader();Document userDocument = null;try {// 读取xml数据为Document对象Document document = saxReader.read(new ByteArrayInputStream(xmlData.getBytes(StandardCharsets.UTF_8)));String signatureContent = document.getRootElement().element("signatureContent").getData().toString();// Base64解析获取数据byte[] byteData = Base64.decode(signatureContent);String data = new String(byteData, StandardCharsets.UTF_8);userDocument = saxReader.read(new ByteArrayInputStream(data.getBytes(StandardCharsets.UTF_8)));} catch (DocumentException e) {}

• 使用SonarLint扫描代码提示Disable access to external entities in XML parsing，提示风险禁止在XML解析中访问外部实体

     // 关闭DTD解析SAXReader saxReader = SAXReader.createDefault();Document userDocument = null;try {// 读取xml数据为Document对象Document document = saxReader.read(new ByteArrayInputStream(xmlData.getBytes(StandardCharsets.UTF_8)));String signatureContent = document.getRootElement().element("signatureContent").getData().toString();// Base64解析获取数据byte[] byteData = Base64.decode(signatureContent);String data = new String(byteData, StandardCharsets.UTF_8);userDocument = saxReader.read(new ByteArrayInputStream(data.getBytes(StandardCharsets.UTF_8)));} catch (DocumentException e) {result.addElement("status").addText("1");result.addElement("failReason").addText(e.getMessage());log.error("解析xml数据失败: " + e.getMessage(), e);}

使用SAXReader.createDefault()来生成解析器，里面设置关闭了DTO解析。

Disable access to external entities in XML parsing相关推荐

1. XML External Entities 攻击（XML外部实体注入）

   使用配置的 XML 解析器无法预防和限制外部实体进行解析,这会使解析器暴露在 XML External Entities 攻击 之下 说明: XML External Entities 攻击可利用能够 ...

2. XML Parsing in a Producer-Consumer Model

   XML Parsing in a Producer-Consumer Model mem_fox 翻译  (参与分:425,专家分:410)   发表:2003-11-10 下午11:16   版本: ...

3. XML Parsing Error: mismatched tag. Expected

   用Firefox不愧为技术呆子,哪怕是一个HTML标签部规范,都会给出ERROR MESSAGE. Long long ago 习惯用IE开发,自从chrome诞生后,慢慢chrome赶走了IE,偶尔 ...

4. Lab: Exploiting XXE using external entities to retrieve files：利用外部实体利用 XXE 来检索文件...

   利用XXE检索文件 要执行从服务器的文件系统中检索任意文件的 XXE 注入攻击,您需要通过两种方式修改提交的 XML: 引入(或编辑)DOCTYPE定义包含文件路径的外部实体的元素. 编辑应用程序响应 ...

5. 【FreeSwitch开发实践】死锁问题解决Over Session Limit 1000/Locked, Waiting on external entities

6. OWASP - 2021

   OWASP介绍 官网:http://www.owasp.org.cn/ OWASP是一个开源的.非盈利的全球性安全组织,致力于应用软件的安全研究.我们的使命是使应用软件更加安全,使企业和组织能够对应用 ...

7. 【共读】企业信息安全建设与运维指南（二）

   接上篇继续往下:[共读]企业信息安全建设与运维指南(一) 三.IDC基础安全体系建设: IDC(Internet Data Center)即互联网数据中心,为企业用户或客户提供服务,如网站应用服务.A ...

8. Parsing XML in J2ME

   sun的原文,原文地址是http://developers.sun.com/mobility/midp/articles/parsingxml/. by Jonathan Knudsen March ...

9. 4.XXE (XML External Entity Injection)

   XXE (XML External Entity Injection) 0x01 什么是XXE XML外部实体注入 若是PHP,libxml_disable_entity_loader设置为TRUE可 ...

10. bWAPP解题笔记——A7-Missing Functional Level Access Control

    A7--Missing Functional Level Access Control 应用层访问控制缺失. Directory Traversal - Directories low 未对输入的目录 ...

最新文章

1. ROS系统 实现客户端Client和服务端Server
2. Linux下Nginx编译安装后的开机自启动设置
3. springmvc教程--快速入门教程
4. mysql 自身参照自身_mysql个人散乱笔记，慎重参考
5. 如何卸载非linux系统分区,如何卸载Linux系统分区？卸载Linux系统分区的方法-站长资讯中心...
6. 手机游戏行业洗牌在即 成本增长小团队出局
7. 解锁WPS企业版，去广告，享会员服务
8. RocksDB调优指南
9. 人脸识别系统 讲解以及环境搭建（Java 附源码）
10. ubuntu嵌入式linux实训报告总结,利用ubuntu建立嵌入式linux开发环境的总结
11. Excel对比数据差异方法总结
12. 4G模块Air720系列 android RIL驱动源码发布
13. pdf转图片 jpg png
14. 新浪微博开放平台开发-android客户端（1）
15. 各种浏览器兼容性报告大全
16. zabbix短信告警oracle,zabbix自定义脚本实现短信报警提醒
17. 花 作品php,《不谢之花》作品赏析
18. 使用git中rebase遇到的坑二 could not apply xxxx
19. Maven之pom.xml配置文件详解
20. 【分享】ArcGIS 根据DEM生成等高线以及带高程转换为Auto CAD数据

热门文章

1. ANSYS ICEM CFD三维结构网格生成实例——汽车外流
2. String spilt()方法
3. android手机 滚动截屏,安卓手机如何滚动截屏？看完图解一秒学会！
4. AssertionError: Torch not compiled with CUDA enabled问题
5. 小鸟云服务器怎么进行启动和关机？
6. 身份证，银行卡，姓名用*号隐藏中间数字
7. VirtulBox安装虚拟机（鼠标点击时）0x00000000指令引用的0x00000000内存该内存不能为written错误解决方案
8. Windows直接访问WSL2路径并直接进行读写操作,权限不足的问题
9. rtmp协议分析(Message 消息，Chunk分块)
10. python里逗号是啥_Python中逗号的三种作用