Spring引导集成XXE预防设置
我们在spring boot-spring集成中有一个应用程序,我们正在尝试引入XXE攻击预防。
在java代码中,我们可以按照以下链接进行更改https://www.owasp.org/index.php/XML_External_Entity_(XXE)\u预防\u作弊表\35; SAXSTransformerFactory
我在github中有一个示例工作示例,其中应用程序使用活动mq作为队列管理器。示例输入xml
我可以在上面的示例中进行什么样的更改以启用XXE预防。
请帮帮我。
共有1个答案
这是一个更一般的答案。您可以简单地将自己的转换器实现作为bean引入,而不是使用提供的XSLT转换器
<int:transformer. . .>
<bean class=".."/>
</int:transformer>
这样,您就可以完全控制这些类型的自定义
-
尽管我提出了问题https://github.com/spring-projects/spring-boot/issues/662为了提供一个spring boot starter liquibase starter模块,今天我发现已经有了某种集成。 Spring Boot已经包含https://github . com/spring-projects/spring-boot/tree/maste
-
当Spring Integration(Spring boot)应用程序调用Spring boot应用程序来侦测traceID和spanID的日志记录时,就会出现该问题。 URL调用-->Facade(用spring integration编写,spring boot并支持sleuth)-->spring boot微服务(支持sleuth) 微服务%1调用微服务%2 Microserice 1日志
-
我们对代码进行了安全审计,它提到我们的代码容易受到XML外部实体(XXE)攻击。 XML外部实体攻击利用XML功能在处理时动态构建文档。XML实体允许动态包含来自给定资源的数据。外部实体允许XML文档包含来自外部URI的数据。除非配置为其他方式,否则外部实体会强制XML解析器访问URI指定的资源,例如本地计算机或远程系统上的文件。此行为会使应用程序遭受XML外部实体(XXE)攻击,这些攻击可用于执
-
我正在tomcat(Servlet2.5)中运行一个传统的Spring启动战。虽然CharacterEncodingFilter默认配置为spring boot 1.2.0,但请求没有任何编码集。我可以在自动配置和日志中看到它的配置。这可能不是由SpringBootLegacy(1.0.1)配置的?我将过滤器添加到web。xml和我的请求现在采用utf-8编码。但是,这不适用于请求参数。我认为这是
-
问题内容: 最近,我们对代码进行了安全审核,问题之一是我们的应用程序受到 Xml eXternal Entity (XXE)攻击。 基本上,该应用程序是一个计算器,可通过Web服务以XML形式接收输入。 这是对我们的应用程序进行此类XXE攻击的示例: 如您所见,我们可以引用指向外部文件()的实体。 关于XML输入本身(该部分)未与JAXB(v2.1)一起编组。Web服务部分基于jaxws- rt(
-
想知道如何使用Xstream API修复Xml外部实体(XXE)漏洞。 就像我们能做的一样 使用DocumentBuilderFactory。更多详细信息-https://www.owasp.org/index.php/XML_External_Entity_(XXE)\u预防\u备忘单 我的代码是这样的-