Java跳过XML的DTD验证需禁用外部DTD加载并关闭验证功能,核心是设置DocumentBuilderFactory的setValidating(false)和禁用相关feature(如disallow-doctype-decl、external-general-entities等),以防止XXE攻击和网络请求失败。
Java中跳过XML的DTD验证,核心是禁用外部DTD加载和关闭验证功能,避免解析器尝试读取DOCTYPE声明中的DTD(如SYSTEM或PUBLIC引用),从而防止网络请求失败、本地文件缺失或安全风险(如XXE攻击)。
设置DocumentBuilderFactory禁用DTD加载
使用DocumentBuilderFactory时,需显式关闭验证并忽略外部DTD:
-
关闭验证:
setValidating(false) -
禁用外部DTD:
setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false) -
防御XXE(推荐一并设置):
setFeature("http://xml.org/sax/features/external-general-entities", false)和setFeature("http://xml.org/sax/features/external-parameter-entities", false)
为SAXParser或DOM解析器统一配置安全特性
若使用SAXParserFactory或直接构建DocumentBuilder,同样需在工厂层面设置关键feature:
- 必须设置
http://apache.org/xml/features/disallow-doctype-decl为true——这会直接拒绝含DOCTYPE的XML,最彻底跳过DTD - 搭配
http://javax.xml.XMLConstants/feature/secure-processing开启安全处理模式 - 避免仅靠
setValidating(false),因为非验证模式下仍可能加载外部DTD
使用Transformer或StAX时的注意事项
如果用Transformer(如XSLT处理)或XMLInputFactory(StAX),DTD跳过逻辑不同:
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~