我的应用程序使用 JDK6。我必须在我的代码中修复 XXE 漏洞,能够找到如下解决方案。但以下代码仅适用于 JDK7。在不升级到 JDK7 的情况下,我有一个限制来解决这个问题。我找到的修复代码是
TransformerFactory tf = TransformerFactory.newInstance();
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");
到目前为止,我尝试使用以下代码。但它并没有解决问题。
TransformerFactory tf = TransformerFactory.newInstance(); tf.setAttribute(XMLConstants.FEATURE_SECURE_PROCESSING, true);