在Java /春/阿帕奇CXF應用程序綁定,我有這樣定義的SOAP端點:如何禁用SOAP 1.1和Apache CXF
<cxf:endpoint
id="MessagingService"
address="/MessagingService"
bindingUri="http://www.w3.org/2003/05/soap/bindings/HTTP/"
implementor="mypackage.MessagingServiceImpl" />
屬性bindingUri="http://www.w3.org/2003/05/soap/bindings/HTTP/"
使SOAP 1.2綁定。我測試過了,它可以工作。
有些人通過「擴展XML實體」認爲SOAP 1.1存在安全問題。我想保護我的Web服務免受這種攻擊。
不確定我的問題是否有意義,但:是否可以「禁用」SOAP 1.1綁定?
注意:從我的角度來看,SOAP 1.1和SOAP 1.2請求之間的區別是SOAP 1.2請求中使用的SOAP 1.1請求和http://www.w3.org/2003/05/soap-envelope
中使用的XML名稱空間http://schemas.xmlsoap.org/soap/envelope/
。 「禁用」 SOAP 1.1綁定可能意味着:在使用SOAP 1.1命名空間
在此先感謝
非常感謝Daniel的回答。與我討論「實體擴展」的人指的是你的觀點#1。正如我現在所瞭解的,它與解析器實現相比,更多地與SOAP版本相關。很高興知道CXF在解析器級別關閉此「功能」。然後我的WS就免受這種攻擊。 –