Spring-ws XML защита от бомб, кто-нибудь?

Question

Есть ли способ защитить приложение Spring-WS от бомб XML, если я использую JAXB2 un / marshaler ... и Xalan 2.7.1 и Xerces, хотя я больше не знаю, кто от чего зависит больше :) ....

В основном я хочу отключить DTD как язык схемы во всем приложении, и если бы это можно было сделать из XML-файла контекста приложения, это было бы здорово!

Я думаю, что другой вариантбыть для расширения / реализации некоторого класса / интерфейса и изменения какого-либо метода, но я не знаю, где в Spring-WS впервые вызывается синтаксический анализатор ....

Answer 1

Синтаксические анализаторы Java обычно имеют встроенную защиту для таких вещей, как атаки на расширение сущностей:

• http://download.oracle.com/javase/6/docs/api/javax/xml/XMLConstants.html#FEATURE_SECURE_PROCESSING

SAXParserFactory spf = SAXParserFactory.newInstance();
spf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
XMLReader xmlReader = spf.newSAXParser().getXMLReader();
InputSource inputSource = new InputSource(new FileReader("input.xml"));
SAXSource source = new SAXSource(xmlReader, inputSource);

Для получения дополнительной информации

• http://blog.bdoughan.com/2011/03/preventing-entity-expansion-attacks-in.html