1

想知道我们如何使用 Xstream API 修复 Xml 外部实体 (XXE) 漏洞。

就像我们可以做的

// This is the PRIMARY defense. If DTDs (doctypes) are disallowed, almost all XML entity attacks are prevented
// Xerces 2 only - http://xerces.apache.org/xerces2-j/features.html#disallow-doctype-decl
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
String FEATURE = null;
FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
dbf.setFeature(FEATURE, true);

使用 DocumentBuilderFactory。更多细节 - https://www.owasp.org/index.php/XML_External_Entity_%28XXE%29_Prevention_Cheat_Sheet

我的代码类似于 -

public static Class<?>[] myAnnotatedClasses = { Test1.class, Test2.class };

public static Object parseStr(String str) throws XStreamException
{
    XStream xstream = new XStream(new StaxDriver());
    xstream.processAnnotations(myAnnotatedClasses);
    Object obj =xstream.fromXML(str);
    return obj;
}
4

1 回答 1

1

根据XStream 常见问题解答

StaxDriver尝试关闭对标准 StaX 解析器的外部实体的支持。但是,最终使用的 StAX 实现是在外部定义的(请参阅 JDK 文档),并且应在目标平台上进行测试以确保解析器遵守该设置。

这就是说StaxDriver试图告诉StAX实现做正确的事情,但StAX您正在使用的实现可能会忽略这一点。如果它确实忽略了它,简单的答案是使用常见问题解答中列出的没有问题的替代驱动程序之一。

于 2016-10-12T15:01:15.520 回答