JAXB2 un/marshaler ... 및 Xalan 2.7.1 및 Xerces를 사용하는 경우 XML 폭탄에서 Spring-WS 응용 프로그램을 보호하는 방법이 있습니까? 더 이상 누가 더 이상 무엇에 의존하는지 알 수 없습니다. :) ...봄 - 봄 XML 폭탄 보호, 누구?
기본적으로 전체 응용 프로그램에서 스키마 언어로 DTD를 사용하지 않으려하고, 응용 프로그램 컨텍스트 xml 파일에서 DTD를 사용하도록 설정하면 멋질 것입니다. ....
자바 파서를
나는 다른 옵션/확장 어떤 클래스/인터페이스를 구현하고, 어떤 방법을 변경하는 것 같아요,하지만 봄-WS에서 먼저 호출 파서 어디 있는지 모르겠어 일반적으로 내장되어 보호 엔티티 확장 공격 같은 것들을 :추가 정보
SAXParserFactory spf = SAXParserFactory.newInstance();
spf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
XMLReader xmlReader = spf.newSAXParser().getXMLReader();
InputSource inputSource = new InputSource(new FileReader("input.xml"));
SAXSource source = new SAXSource(xmlReader, inputSource);