0

0

XML注入攻击修复方案 Java代码如何防止XXE漏洞

幻夢星雲

幻夢星雲

发布时间:2026-02-26 08:29:03

|

636人浏览过

|

来源于php中文网

原创

java中禁用dtd解析防止xxe需显式设置disallow-doctype-decl等特征,spring boot须重写documentbuilderfactory bean,第三方库需单独加固并验证payload。

xml注入攻击修复方案 java代码如何防止xxe漏洞

Java中禁用DTD解析防止XXE

默认的DocumentBuilderSAXParser会加载外部DTD,这是XML注入(XXE)的根本入口。必须显式关闭DTD加载,不能只靠过滤输入。

  • DocumentBuilderFactory:调用setFeature("http://apache.org/xml/features/disallow-doctype-decl", true) —— 这是最关键一步,仅设setValidating(false)无效
  • SAXParserFactory:同样需启用http://apache.org/xml/features/disallow-doctype-decl,并额外设置http://xml.org/sax/features/external-general-entitieshttp://xml.org/sax/features/external-parameter-entitiesfalse
  • 使用TransformerFactory处理XML时也要禁用:调用setFeature("http://javax.xml.XMLConstants/feature/secure-processing", true),它会限制XSLT扩展但不自动禁DTD

Spring Boot项目里XML解析器统一加固

Spring默认用Jaxb2RootElementHttpMessageConverterMappingJackson2XmlHttpMessageConverter,但底层仍走JDK原生解析器。不改配置,加再多Filter都没用。

  • @Configuration类中重写DocumentBuilderFactory Bean,强制注入已禁DTD的实例
  • 若用RestTemplate接收XML,确保其HttpMessageConverter底层使用的DocumentBuilder来自加固后的工厂
  • 检查依赖:某些老版本commons-digesterspring-oxm会绕过你的配置,升级到spring-oxm 5.3.30+6.1.0+更稳妥

测试XXE是否真被堵死

光看代码没用,得用典型payload验证。常见错误是只测了 ]>,但漏了其他变体。

  • 必测三类payload:SYSTEM读文件、ENTITY引用内部声明、parameter entity触发二次解析(如%remote;
  • 本地调试时,把DocumentBuilder.parse()包装一层try-catch,捕获SAXParseException——如果抛出“DOCTYPE is disallowed”说明生效;若静默返回空数据或报FileNotFoundException,说明没禁住
  • 注意IDEA或JUnit运行时可能用不同JDK版本,生产环境用OpenJDK 17+时,disallow-doctype-decl才完全可靠;Java 8u191之前存在绕过漏洞

第三方库自带XML解析怎么办

Apache POI读取.docxLog4j解析XML格式日志、甚至Shiro的INI配置加载,都可能悄悄调用DocumentBuilder。它们不会读你的全局配置。

立即学习Java免费学习笔记(深入)”;

  • 查Maven依赖树:mvn dependency:tree | grep xml,重点盯poi-ooxmllog4j-corexstream(已知高危)
  • XStream必须升级到1.4.19+,并显式调用new XStream().denyTypes(new Class[]{...}),不能只靠addPermission
  • 对无法升级的库(如老版poi-3.17),在JVM启动参数加-Djavax.xml.parsers.DocumentBuilderFactory=xxx.SecureDocumentBuilderFactory强行替换工厂类

最易忽略的是:同一应用里多个XML解析路径(HTTP body、文件上传、定时任务读配置),只要有一处漏加固,整个防护就失效。别信“我只用Jackson XML,肯定安全”——它底层仍可能fallback到JDK原生解析器。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
spring框架介绍
spring框架介绍

本专题整合了spring框架相关内容,想了解更多详细内容,请阅读专题下面的文章。

144

2025.08.06

Java Spring Security 与认证授权
Java Spring Security 与认证授权

本专题系统讲解 Java Spring Security 框架在认证与授权中的应用,涵盖用户身份验证、权限控制、JWT与OAuth2实现、跨站请求伪造(CSRF)防护、会话管理与安全漏洞防范。通过实际项目案例,帮助学习者掌握如何 使用 Spring Security 实现高安全性认证与授权机制,提升 Web 应用的安全性与用户数据保护。

82

2026.01.26

spring boot框架优点
spring boot框架优点

spring boot框架的优点有简化配置、快速开发、内嵌服务器、微服务支持、自动化测试和生态系统支持。本专题为大家提供spring boot相关的文章、下载、课程内容,供大家免费下载体验。

137

2023.09.05

spring框架有哪些
spring框架有哪些

spring框架有Spring Core、Spring MVC、Spring Data、Spring Security、Spring AOP和Spring Boot。详细介绍:1、Spring Core,通过将对象的创建和依赖关系的管理交给容器来实现,从而降低了组件之间的耦合度;2、Spring MVC,提供基于模型-视图-控制器的架构,用于开发灵活和可扩展的Web应用程序等。

404

2023.10.12

Java Spring Boot开发
Java Spring Boot开发

本专题围绕 Java 主流开发框架 Spring Boot 展开,系统讲解依赖注入、配置管理、数据访问、RESTful API、微服务架构与安全认证等核心知识,并通过电商平台、博客系统与企业管理系统等项目实战,帮助学员掌握使用 Spring Boot 快速开发高效、稳定的企业级应用。

71

2025.08.19

Java Spring Boot 4更新教程_Java Spring Boot 4有哪些新特性
Java Spring Boot 4更新教程_Java Spring Boot 4有哪些新特性

Spring Boot 是一个基于 Spring 框架的 Java 开发框架,它通过 约定优于配置的原则,大幅简化了 Spring 应用的初始搭建、配置和开发过程,让开发者可以快速构建独立的、生产级别的 Spring 应用,无需繁琐的样板配置,通常集成嵌入式服务器(如 Tomcat),提供“开箱即用”的体验,是构建微服务和 Web 应用的流行工具。

134

2025.12.22

Java Spring Boot 微服务实战
Java Spring Boot 微服务实战

本专题深入讲解 Java Spring Boot 在微服务架构中的应用,内容涵盖服务注册与发现、REST API开发、配置中心、负载均衡、熔断与限流、日志与监控。通过实际项目案例(如电商订单系统),帮助开发者掌握 从单体应用迁移到高可用微服务系统的完整流程与实战能力。

243

2025.12.24

Spring Boot企业级开发与MyBatis Plus实战
Spring Boot企业级开发与MyBatis Plus实战

本专题面向 Java 后端开发者,系统讲解如何基于 Spring Boot 与 MyBatis Plus 构建高效、规范的企业级应用。内容涵盖项目架构设计、数据访问层封装、通用 CRUD 实现、分页与条件查询、代码生成器以及常见性能优化方案。通过完整实战案例,帮助开发者提升后端开发效率,减少重复代码,快速交付稳定可维护的业务系统。

28

2026.02.11

batoto漫画官网入口与网页版访问指南
batoto漫画官网入口与网页版访问指南

本专题系统整理batoto漫画官方网站最新可用入口,涵盖最新官网地址、网页版登录页面及防走失访问方式说明,帮助用户快速找到batoto漫画官方平台,稳定在线阅读各类漫画内容。

127

2026.02.25

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
Kotlin 教程
Kotlin 教程

共23课时 | 3.9万人学习

C# 教程
C# 教程

共94课时 | 10.2万人学习

Java 教程
Java 教程

共578课时 | 72.1万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号