0

我们有一个spring boot+spring集成的应用,我们正在尝试引入XXE攻击防护。

在 java 代码中,我们可以根据以下链接进行更改https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#SAXTransformerFactory

我在github中有示例工作示例,其中应用程序使用活动 mq 作为队列管理器。 示例输入 xml

我可以在上述示例中进行哪些更改以启用 XXE 预防。

请帮助我。

4

1 回答 1

1

这更像是一个普遍的答案。. . 您可以简单地将自己的转换器实现作为 bean 引入,而不是使用提供的 XSLT 转换器

<int:transformer. . .>
   <bean class=".."/>
</int:transformer>

这样您就可以完全控制这些类型的自定义

于 2018-12-10T12:52:35.240 回答