0

我正在使用 WSDLReader.readWSDL() 创建 Wsdl 定义。我想知道 javax.wsdl.WSDLReader 中是否有可用的标志来检查 WSDL 中的 XXE 攻击?

4

1 回答 1

0

在 Java 中,您需要显式关闭它。请尝试以下链接中的功能将其关闭 https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#XMLReader

从上面提供的链接中添加与要关闭的标志相关的代码:

XMLReader spf = XMLReaderFactory.createXMLReader();
spf.setFeature("http://xml.org/sax/features/external-general-entities", false);
spf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
spf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd",false);
于 2016-12-22T15:50:17.507 回答