TransformerFactory怎么防xxe注入

TransformerFactory sf = TransformerFactory.newInstance();
sf.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
sf.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");

jdk1.8.0_91 运行的时候会抛 IllegalArgumentException ，XMLConstants.ACCESS_EXTERNAL_DTD这个参数不合法但是owasp上面给的就是 https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#TransformerFactory
要怎么解决

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
devmiao 2016-11-07 09:43
关注
http://blog.csdn.net/scmrpu/article/details/50423701

解决 1
无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

Java：仅三行Java代码的JSP页面为什么会报这个错呢？
2013-03-27 16:34

回答 2 已采纳 Transformer transformer = tFactory.newTransformer(new StreamSource([color=red][b]application[/b][/co
java用dom更新xml的问题，怎么在子节点下添加节点？
2012-11-21 23:10

回答 3 已采纳还有一种更好的方法，不需要修改xml文件，把 [code="js"]Element eltRoot=doc.getDocumentElement(); eltRoot.appendChi
tomcat启动报错 Provider org.apache.xalan.processor.TransformerFactoryImpl not found
2011-03-18 16:56

回答 1 已采纳确认一下 xalan.jar 有没有org.apache.xalan.processor.TransformerFactoryImpl 类文件？
[JAVA]-xml 防xxe注入备注
2018-09-30 16:18

william-Han的博客 Java的 ...使用XML库的Java应用程序特别容易受到XXE的攻击，因为大多数Java XML解析器的默认设置是启用XXE。要安全地使用这些解析器，您必须在您使用的解析器中显式禁用XXE。下面介绍如何在最常用的J...
java.lang.reflect.InvocationTargetException这个问题头疼好久了，谢谢！
2009-11-12 12:58

回答 2 已采纳问题的根源在这一行 [code="xml"]Caused by: java.lang.AbstractMethodError: org.apache.crimson.tree.XmlDocument
XML和XSLT的一点问题
2009-08-02 09:59

回答 1 已采纳 [code="xml"] [/code] 好明显你的xml代码有两个顶点元素[color=red]<?xml[/color],那肯定出错啦
xml解析
2008-08-28 17:09

回答 1 已采纳我在jdk1.5 下没有 new DOMSource(document) 只有new DOMSource(); 用上面的代码生成的xml内容是没有standalone="no"的,如下: [co
网络安全课第五节 XXE 漏洞的检测与防御
2022-07-11 12:04

办公模板库素材蛙的博客下面，我们就开始今天的课程，一场关于 XML 外部实体注入（XXE）漏洞的攻防之路。XXE（XML External Entity，XML 外部实体注入）正是当允许引用外部实体时，通过构造恶意内容，导致读取任意文件、执行系统命令、内网...
struts2的配置 struts
2008-06-30 08:24

回答 9 已采纳错误原因：认为是由于jdk1.5 与 tomcat5.0之间的关于 TransformerFactoryImpl 类的冲突造成的。 tomcat-5.0.28\common\endorsed
XXE原理简介、防御方案
2022-11-24 21:36

偷偷学习被我发现的博客一、XXE原理 XXE(XML External Entity Injection):XML外部实体注入，由于程序在解析输入的XML数据时，解析了攻击者伪造的外部实体而产生的。某些应用程序允许XML 格式的数据输入和解析，可以通过引入外部实体的方式...
XXE - XML外部实体注入攻击
2023-01-04 18:11

^^_candice的博客 XXE漏洞、XML外部实体注入攻击
（十二）XML外部实体（XXE）注入
2021-04-16 15:11

她总是阴雨天的博客利用XXE检索文件利用XXE执行SSRF攻击四、寻找用于XXE注入的隐藏攻击面XInclude攻击通过文件上传进行XXE攻击通过修改的内容类型进行XXE攻击五、如何预防XXE漏洞一、什么是XML外部实体注入？ XML外部实体注入（也...
XXE外部实体注入漏洞的测试和修复——Java
2020-07-27 14:40

Sword_Shi的博客代码检测时发现存在XXE问题，可通过自行改造的xml内容，请求存在XXE问题的接口，测试该漏洞。比如使用如下xml，通过读取document中 testText这个Element，即可获取到test.json中的文件内容： <?xml version=...
Web攻防--Java_SQL注入--XXE注入-- SSTI模板注入--SPEL表达式注入
2023-09-21 22:53

SuperMan529的博客预编译技术会让数据库跳过编译阶段，也就无法就进行词法分析，关键字不会被拆开，注入语句也就不会被识别为SQL的关键字，从而防止恶意注入语句改变原有SQL语句本身逻辑。说白了就是RCE命令执行。
JAVA常见的XXE漏洞写法和防御
2019-08-28 11:12

表弟的博客貌似最近经常看到有Java项目爆出XXE的漏洞并且带有CVE，包括Spring-data-XMLBean XXE漏洞、JavaMelody组件XXE漏洞解析、Apache OFBiz漏洞。微信支付SDK的XXE漏洞。本质上xxe的漏洞都是因为对xml解析时允许引用外部...
web安全 XML实体注入风险
2016-09-14 14:53

崔世勋的博客 ENTITY xxe SYSTEM "file:///dev/random" >]><foo>&xxe; 如果 XML 解析器尝试使用 /dev/random 文件中的内容来替代实体，则此示例会使服务器（使用 UNIX 系统）崩溃。解决方案 ...
web安全--Xml外部实体注入漏洞(XXE)与防护
2020-05-02 11:49

fabao007的博客 Xml外部实体注入(XXE) 除了json外，xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式：DOM，SAX，JDOM，DOM4J，StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞，如微信支付的回调就出现...
XXE漏洞笔记
2022-11-26 09:00

看客过客皆是客的博客 XXE
WEB攻防-Java安全&SPEL表达式&SSTI模版注入&XXE&JDBC&MyBatis注入
2023-12-08 09:54

SuperherRo的博客 #知识点： 1、Java安全-SQL注入-JDBC&MyBatis 2、Java安全-XXE注入-Reader&Builder 3、Java安全-SSTI模版-Thymeleaf&URL 4、Java安全-SPEL表达式-SpringBoot框架
setFeature的妙用，解析XML时，外部注入预防即XXE攻击
2015-12-29 08:35

Scmrpu的博客 SAX2采用feature和property这两种办法对解析器进行设置。SAX不但没有限制feature的种类，还鼓励其他组织和个人创建自己的feature。这些feature表示解析器的功能，通过设置feature，我们可以控制解析器的行为，例如，...
没有解决我的问题, 去提问

悬赏问题

¥20 有人能用聚类分析帮我分析一下文本内容嘛
¥15 请问Lammps做复合材料拉伸模拟，应力应变曲线问题
¥30 python代码，帮调试
¥15 #MATLAB仿真#车辆换道路径规划
¥15 java 操作 elasticsearch 8.1 实现索引的重建
¥15 数据可视化Python
¥15 要给毕业设计添加扫码登录的功能！！有偿
¥15 kafka 分区副本增加会导致消息丢失或者不可用吗？
¥15 微信公众号自制会员卡没有收款渠道啊
¥100 Jenkins自动化部署—悬赏100元

TransformerFactory怎么防xxe注入

1条回答 默认 最新

悬赏问题

1条回答默认最新