我正在测试 WildFly 8.1 的 XXE 漏洞,我发现很烦人的事情。JAXB 默认使用安全解析和尊重entityExpansionLimit属性(默认为 64k)。由于它在 RestEasy 中的 Spring MVC 中工作,因此它被忽略(大扩展时崩溃服务器没有问题)。
有谁知道是否可以在 XXE 上保护 WildFly/RestEasy?我发现只支持 XML 外部实体保护 ( resteasy.document.expand.entity.references=false)
问问题
575 次