1

我有如下的xml代码:

  <request><param name=\"client-id\" value=\"organization\"/><param name=\"client-org-id\" value=\"3042d80e24cd4cc31eb9ef48e7012\"/><param name=\"user-agent\" value=\"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0\"/><param name=\"client-browser\" value=\"Firefox 48\"/><param name=\"domain-id\" value=\"layout\"/><param name=\"view-id\" value=\"1\"/><param name=\"view-token\" value=\"layout|get-workspace|\"/><param name=\"view-action\" value=\"private.layout:get-workspace\"/><param name=\"view-parent-id\" value=\"\"/><param name=\"view-parent-token\" value=\"\"/><param name=\"view-parent-action\" value=\"\"/></request>

在这里,我将上述 xml 作为字符串获取,并且我正在使用 XOM 解析器来解析 xml。现在我的问题是我的应用程序通过了安全扫描,并且我通过它获取 XML 字符串的参数正在注入一个外部 XML,如下所示:

<?xml version=\"1.0\" encoding=\"utf-8\"?><!DOCTYPE acunetix [><!ENTITY acunetixent SYSTEM \"http://hitrlWBrzWDQ0.bxss.me/\">]><xxx>&acunetixent;</xxx>

所以我想阻止外部实体。对我来说最好的解决方案是什么。或者在使用 xsd 解析 XML 时避免 xml 中的 ENTITY 标记的任何解决方案。提前致谢。

4

2 回答 2

1

我担心你不能在 XOM 中做到这一点

http://www.xom.nu/infoset.xhtml,您可以阅读

所有实体引用均已展开。XOM 不允许未扩展的实体引用。

于 2016-09-21T09:46:22.100 回答
0

首先,您发布的内容不是XML。您必须删除\双引号字符之前的所有反斜杠字符",以便您发布的内容格式正确。

所以我想阻止外部实体。

如果您的意思是要防止将外部实体注入到您的 XML 中,那么我们可能无法帮助您,因为可能我们和您都无法控制注入它的安全扫描。

如果您的意思是要防止实体引用被扩展,请意识到 XML 解析器应该扩展实体引用并且通常无法覆盖此行为。@innovimax (+1) 已经证明 XOM 没有。当实体引用在高级已知时,请参阅此处了解 XSLT 中的 hack。

最后请注意,在您的请求的任何一种解释中,XSD 都不起作用。

于 2016-09-21T12:37:14.453 回答