公司老项目,最近用Fortity代码审计工具,查出来很多漏洞。其中有一个高危缺陷,为 "弱XML模式"。
缺陷描述:将maxOccurs值设为unbounded,会导致资源耗尽,并最终发生 denial of service。处理XML文档的成本会非常高。攻击者可以利用允许无限制元素的架构,为应用程序提供数值特别大的元素,导致应用程序耗尽系统资源。下面是一个架构示例,它允许存在无限制的bar元素....
修复建议:将maxOccurs限制在合理的数值。下面是一个架构示例,它允许存在50个bar元素。....
系统定位到的代码,都是maxOccurs="unbounded",我现在要把他改为一个具体的数值,这样它就不会在报这个缺陷。关键我要改成多少合适呀,它的建议里面是改成了50,关键我不知道这个数值是大还是小呀,适不适合我这个系统。在网上找了一大圈也没有方案,有没有朋友懂得告诉我应该填多少合适