2

是否JAX-RPCAxis2内置支持XML injection

如果没有,我如何添加自定义代码来自己执行转义和模式验证?

编辑:我查看了JAX-RPCXML injection. 剩下的问题是 - 字符转义怎么办?

关于Axis2- 我认为它是根据annotations代表模型的实际 bean 完成的 - 所以如果没有限制annotations- 这似乎XML injection是可能的 - 但我也更喜欢专家的回答。

4

1 回答 1

1

如果这些技术中的任何一种都容易受到 XML 注入的影响(顺便说一下,您是指 XPath 注入吗?),我会感到惊讶。它们建立在标准的 Java API 之上,例如已经存在很长时间的 JAXP,并自动转义任何危险字符<&

这并不意味着您在自己的应用程序中使用这些技术时不必小心不要引入注入漏洞。例如,在 Java 中安全地参数化 XPath 查询似乎仍然很困难。

于 2011-06-28T10:09:18.370 回答