这些代码行导致 xxe 漏洞出现在 Checkmarx 报告中:
InputStream is = connection.getInputStream();
XMLInputFactory factory = XMLInputFactory.newInstance();
XMLStreamReader reader = factory.createXMLStreamReader(is);
该问题指出:
“应用程序使用 createXMLStreamReader 向远程服务器发送针对某些资源的请求。但是,攻击者可以通过在 getInputStream 中发送 URL 或其他数据来控制请求的目标。”
任何想法如何解决这个问题?
在这里找到对我有用的答案;将这些属性添加到 XMLInputFactory:
XMLInputFactory xif = XMLInputFactory.newFactory();
//prevents using external resources when parsing xml
xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);
//prevents using external document type definition when parsing xml
xif.setProperty(XMLInputFactory.SUPPORT_DTD, false);