我对JAXB非常陌生,在我们的代码审计中,有关于用JAXB防止XXE攻击的建议。我找到了相关的答案:用JAXB防止XXE攻击
我现有的代码如下所示:
if (properties.getProperty(MANIFEST) != null && !properties.getProperty(MANIFEST).isEmpty()) {
String manifestString = properties.getProperty(MANIFEST);
ByteArrayInputStream is = new ByteArrayInputStream(manifestString.getBytes());
try {
this.manifest = (Manifest) getJaxbContext().createUnmarshaller().unmarshal(is);
}
catch (JAXBException e) {
LOG.warn("There was an error trying to convert xml String to Manifest - {}", e.getMessage(), e);
}
}
根据答案,我应该使用带有一些属性false的XMLStreamReader而不是使用ByteArrayInputStream。
在建议的答案中,它说:
XMLStreamReader xsr=xif. createXMLStreamReader(new StreamSource("src/xxe/input.xml"));
我不明白什么是'src/xxe/input. xml'以及我的解决方案需要什么。有人能解释一下吗?
另一个问题答案中的src/xxe/input. xml是该问题正在处理的XML的源位置-即文件名,作为URL资源访问。
在你的例子中,你的XML是在String清单String中提供的-因此你的StreamSource需要将这个字符串作为它的源,而不是文件位置。
这可以使用StringReader来完成:
import java.io.StringReader
...
StringReader manifestReader = new StringReader(manifestString);
XMLStreamReader xsr = xif.createXMLStreamReader(new StreamSource(manifestReader));
我将代码分成2行以使其更清晰-但如果您愿意,可以将它们折叠回一行:
XMLStreamReader xsr = xif.createXMLStreamReader(
new StreamSource(new StringReader(manifestString)));
上面的代码假设您已经创建了上下文和xif输入工厂:
JAXBContext jc = JAXBContext.newInstance(Manifest.class);
XMLInputFactory xif = XMLInputFactory.newFactory();
xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);
xif.setProperty(XMLInputFactory.SUPPORT_DTD, false);
然后您可以按通常的方式散集:
Unmarshaller unmarshaller = jc.createUnmarshaller();
Manifest manifest = (Manifest) unmarshaller.unmarshal(xsr);
