SAXParserFactory 是否容易受到 XXE 攻击?
Is SAXParserFactory susceptible to XXE attacks?
我们使用 javax.xml.parsers.SAXParserFactory 读取了我们的 XML 模板文件。如果我们正在读取的 XML 文件中存在 XXE,是否有办法关闭对它的处理?
谢谢 - 戴夫
是的,它默认容易受到 XXE 攻击。
请参阅 this cheat sheet 以正确配置解析器:
总而言之,您需要使用 SAXParserFactory.setFeature(foo, bar) documentation
配置相关漏洞
我们使用 javax.xml.parsers.SAXParserFactory 读取了我们的 XML 模板文件。如果我们正在读取的 XML 文件中存在 XXE,是否有办法关闭对它的处理?
谢谢 - 戴夫
是的,它默认容易受到 XXE 攻击。
请参阅 this cheat sheet 以正确配置解析器:
总而言之,您需要使用 SAXParserFactory.setFeature(foo, bar) documentation
配置相关漏洞