4

我们使用 javax.xml.parsers.SAXParserFactory 读取我们的 XML 模板文件。如果我们正在读取的 XML 文件中有 XXE,有没有办法关闭处理呢?

谢谢 - 戴夫

4

1 回答 1

2

是的,默认情况下它容易受到 XXE 攻击。

请参阅此备忘单以正确配置解析器:

总而言之,您需要使用 SAXParserFactory.setFeature(foo, bar)文档配置相关漏洞

于 2018-10-12T13:59:29.420 回答