Внедрение внешнего объекта XML: Hp Fortify проблема в Java 1.6

Question

Я пытался исправить проблему XEE и пробовал другие варианты, но это не сработало.Было бы здорово, если бы были какие-либо указатели.

Ниже приведен мой фрагмент кода ..

ByteArrayOutputStream outputStream = new ByteArrayOutputStream();
Source xmlSource = new DOMSource(feed);
Result outputTarget = new StreamResult(outputStream);
TransformerFactory.newInstance().newTransformer().transform(xmlSource,outputTarget);
is = new ByteArrayInputStream(outputStream.toByteArray());

Answer 1

Посмотрите на Шпаргалку по профилактике OWASP XXE

в зависимости от того, что я вижу в вашем коде, вы должны изменить его следующим образом:

ByteArrayOutputStream outputStream = new ByteArrayOutputStream();
Source xmlSource = new DOMSource(feed);
Result outputTarget = new StreamResult(outputStream);

TransformerFactory tf = TransformerFactory.newInstance();
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");

tf.newTransformer().transform(xmlSource,outputTarget);
is = new ByteArrayInputStream(outputStream.toByteArray());