1
是否有可能以某种方式防止部署在JBoss 4.2上的Web服务的xxe攻击? WS由注释定义。我找不到任何配置来禁用支持外部实体和dtd。防止对JBoss 4.2的XXE攻击4.2
在这篇文章中(Prevent XXE Attack with JAXB)是解析servlet中的soap的解决方案,但我需要一些用于注释的WS。
是否有可能以某种方式防止部署在JBoss 4.2上的Web服务的xxe攻击? WS由注释定义。我找不到任何配置来禁用支持外部实体和dtd。防止对JBoss 4.2的XXE攻击4.2
在这篇文章中(Prevent XXE Attack with JAXB)是解析servlet中的soap的解决方案,但我需要一些用于注释的WS。
长时间的调试运行JBoss的代码后,我已经找到了JBoss上XXE攻击的修复4.2.2
在DOMUtils.class(位于将JBossWS-common.jar)我已经添加上的DocumentBuilderFactory额外功能例如:
factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
它解决了这个问题。