博豪信息xxe漏洞是如何修复的
使用java对xxe漏洞进行修复的方法
xxe漏洞代码:
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
String FEATURE = null;
// dbf.setExpandEntityReferences无法防止xxe
dbf.setExpandEntityReferences(false);
DocumentBuilder documentBuilder = dbf.newDocumentBuilder();
Document document = documentBuilder.parse(new File("poc.xml"));
xxe漏洞修复代码:
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
String FEATURE = null;
FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
dbf.setFeature(FEATURE, true);
FEATURE = "http://xml.org/sax/features/external-general-entities";
dbf.setFeature(FEATURE, false);
FEATURE = "http://xml.org/sax/features/external-parameter-entities";
dbf.setFeature(FEATURE, false);
FEATURE = "http://apache.org/xml/features/nonvalidating/load-external-dtd";
dbf.setFeature(FEATURE, false);
dbf.setXIncludeAware(false);
// dbf.setExpandEntityReferences无法防止xxe
dbf.setExpandEntityReferences(false);
DocumentBuilder documentBuilder = dbf.newDocumentBuilder();
版权声明
本文仅代表作者观点,不代表米安网络立场。
作者文章
- 超融合服务器为何价格偏高? 3小时前
- 探寻服务器持续加载的幕后缘由 5小时前
- 为什么用Win7装服务器? 10小时前
- 诛仙3服务器为横杠的原因探究 13小时前
- 服务器内存为何不宜低于8GB? 16小时前
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。