1
是否有可能以某種方式防止部署在JBoss 4.2上的Web服務的xxe攻擊? WS由註釋定義。我找不到任何配置來禁用支持外部實體和dtd。防止對JBoss 4.2的XXE攻擊4.2
在這篇文章中(Prevent XXE Attack with JAXB)是解析servlet中的soap的解決方案,但我需要一些用於註釋的WS。
是否有可能以某種方式防止部署在JBoss 4.2上的Web服務的xxe攻擊? WS由註釋定義。我找不到任何配置來禁用支持外部實體和dtd。防止對JBoss 4.2的XXE攻擊4.2
在這篇文章中(Prevent XXE Attack with JAXB)是解析servlet中的soap的解決方案,但我需要一些用於註釋的WS。
長時間的調試運行JBoss的代碼後,我已經找到了JBoss上XXE攻擊的修復4.2.2
在DOMUtils.class(位於將JBossWS-common.jar)我已經添加上的DocumentBuilderFactory額外功能例如:
factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
它解決了這個問題。