10

我想在我的项目中防止 XXE 攻击。这是运行在 java 7(没有 maven)和 jboss-as-7 服务器上的旧 api 项目。但是在执行过程中我得到错误: org.xml.sax.SAXNotRecognizedException: Property ' http://javax.xml.XMLConstants/property/accessExternalDTD ' is not Recognized 。

 org.xml.sax.SAXNotRecognizedException: Property 'http://javax.xml.XMLConstants/property/accessExternalDTD' is not recognized.

15:19:02,845 ERROR [stderr] (http-localhost-127.0.0.1-8080-3)   at org.apache.xerces.jaxp.validation.ValidatorImpl.setProperty(ValidatorImpl.java:218)

15:19:02,846 ERROR [stderr] (http-localhost-127.0.0.1-8080-3)   at com.uid.kua.web.KUARestController.authenticateAtAUA(KUARestController.java:118)

15:19:02,847 ERROR [stderr] (http-localhost-127.0.0.1-8080-3)   at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)

15:19:02,847 ERROR [stderr] (http-localhost-127.0.0.1-8080-3)   at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:57)

15:19:02,848 ERROR [stderr] (http-localhost-127.0.0.1-8080-3)   at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)

15:19:02,849 ERROR [stderr] (http-localhost-127.0.0.1-8080-3)   at java.lang.reflect.Method.invoke(Method.java:606)

我已经搜索过它,每个论坛都有不同的含义,说它是一个错误。我还没有找到任何有关此异常的解决方案。请帮忙。提前致谢。

4

5 回答 5

15

最后我解决了。我发布答案以防万一这对任何人都有帮助。在通过在线解决方案后,我无法检测到导致上述错误的主要问题。对于 xxe 预防,我们需要一些已定义的属性,例如: XMLConstants.ACCESS_EXTERNAL_DTD XMLConstants.ACCESS_EXTERNAL_SCHEMA

我们需要xercesjaxp-api jar 来传递 xml 并防止 api 提供的 xxe 通过设置上述一些属性来解析 xml。在JDK 7之前,这些已包含在 JDK 7 及更高版本中。所以我们不需要在我们的项目类路径中导入上面的jars。

在我的情况下,我使用 jboss-as-7.1.1.Final 作为应用程序服务器,它也有自己的 xerces jar (org.apache.xerces. )。但是 java 也带有它自己的 xerces 和 jaxp 实现(com.sun.xerces.。因此,在部署战争时,我们得到了上述错误,因为这两个 jar 在 jboss 加载它自己的 xerces jar 时相互冲突。

解决方案: 我们需要通过更改jboss/org/apache/xerces/main/modules.xml文件来排除jboss xerces 实现。注释掉如下所示的行:

> <module xmlns="urn:jboss:module:1.1" name="org.apache.xerces">    
> <!--
>     <resources>
>         <resource-root path="xercesImpl-2.9.1-jbossas-1.jar"/>
>         Insert resources here
>     </resources>
> -->
>     <dependencies>
>         <module name="javax.api"/>
>     </dependencies>
> 
> </module>

现在部署并运行您的应用程序。快乐编码。

于 2019-10-23T11:38:28.007 回答
9

似乎属性accessExternalDTDaccessExternalSchema是在 JAXP 1.5 中引入的。但是,Java EE 6(甚至仍然是 Java EE 8)仅随 JAXP 1.4 一起提供。

就我而言(在 WildFly 19 和 AdoptOpenJDK 11 上运行),我能够通过使用 Java 9 中引入的静态newDefaultInstance()方法获得 JDK 的默认DocumentBuilderFactorySchemaFactory实例。在 Java 8 中,这两个类也有一个newInstance方法您可以在其中指定类名,即com.sun.org.apache.xerces.internal.jaxp.DocumentBuilderFactoryImplcom.sun.org.apache.xerces.internal.jaxp.validation.XMLSchemaFactory

此解决方案避免更改 JBoss 模块。

于 2020-06-16T08:56:42.830 回答
0

感谢有关 xerces 的提示。

在 Maven 构建(mvn verify)期间运行 Java 测试时我的错误消息如下所示:

Property 'http://javax.xml.XMLConstants/property/accessExternalDTD' is not recognized.

我是这样解决的:

mvn dependency:tree

查找继承 xerces 的依赖项:

[INFO] +- au.com.dius.pact:consumer:jar:4.2.9:test
[INFO] |  +- au.com.dius.pact.core:model:jar:4.2.9:test
[INFO] |  |  +- org.apache.commons:commons-collections4:jar:4.1:test
[INFO] |  |  +- com.github.mifmif:generex:jar:1.0.2:test
[INFO] |  |  +- javax.mail:mail:jar:1.5.0-b01:test
[INFO] |  |  +- org.apache.tika:tika-core:jar:1.27:test
[INFO] |  |  \- io.ktor:ktor-http-jvm:jar:1.3.1:test
[INFO] |  |     +- org.jetbrains.kotlinx:atomicfu:jar:0.14.1:test
[INFO] |  |     +- org.jetbrains.kotlinx:kotlinx-coroutines-core:jar:1.3.3:test
[INFO] |  |     +- org.jetbrains.kotlinx:kotlinx-coroutines-core-common:jar:1.3.3:test
[INFO] |  |     \- io.ktor:ktor-utils-jvm:jar:1.3.1:test
[INFO] |  |        \- io.ktor:ktor-io-jvm:jar:1.3.1:test
[INFO] |  +- au.com.dius.pact.core:matchers:jar:4.2.9:test
[INFO] |  |  +- xerces:xercesImpl:jar:2.12.0:test

并在 Maven Pom.xml 中相应的 Dependency 中排除 xerces:

       <dependency>
            <groupId>au.com.dius.pact</groupId>
            <artifactId>consumer</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <artifactId>aws-java-sdk-s3</artifactId>
                    <groupId>com.amazonaws</groupId>
                </exclusion>                
                <exclusion>
                    <groupId>xerces</groupId>
                    <artifactId>xercesImpl</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
于 2021-11-04T09:51:36.840 回答
0

好的答案 - https://stackoverflow.com/a/62404699 这只是代码示例(使用 java 11 和 jboss 7.3):

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
 dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
 DocumentBuilder builder = dbf.newDocumentBuilder();

 ByteArrayInputStream input = new ByteArrayInputStream(xmlDocument.getBytes(encoding));
 org.w3c.dom.Document doc = builder.parse(input);
 DOMBuilder domBuilder = new DOMBuilder();

 Document docJdom = domBuilder.build(doc);
于 2021-04-05T07:01:45.770 回答
0

就我而言,我遇到了类似的问题,但与SAXParser设置道具时的 ,XMLConstants.ACCESS_EXTERNAL_DTDXMLConstants.ACCESS_EXTERNAL_SCHEMA.

遵循迈克尔的建议的解决方案是指定要使用的类名SAXParserFactory(我正在使用 JDK 8)

final SAXParserFactory factory = SAXParserFactory.newInstance("com.sun.org.apache.xerces.internal.jaxp.SAXParserFactoryImpl", ClassLoader.getSystemClassLoader());
于 2021-08-31T13:19:33.303 回答