Java怎么避免XXE攻击 DocumentBuilderFactory安全配置

Java防XXE攻击关键在于禁用DOCTYPE声明、禁用外部实体展开、禁用外部参数实体，需显式配置DocumentBuilderFactory等解析器相关安全特性并统一加固。

Java中避免XXE（XML External Entity）攻击的关键，是正确配置 DocumentBuilderFactory，禁用外部实体解析和DTD处理。默认配置下，它可能加载远程或本地敏感文件，导致信息泄露、SSRF甚至RCE。

禁用外部实体和DTD解析

这是最核心的安全配置。必须显式关闭setExpandEntityReferences(false)和setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)，否则即使没写DOCTYPE也可能被绕过。

• 禁用DOCTYPE声明：调用 factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)
• 禁止展开外部实体：调用 factory.setExpandEntityReferences(false)
• 禁用加载外部DTD：补充设置 factory.setFeature("http://xml.org/sax/features/external-general-entities", false) 和 factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false)

使用安全的默认工厂实例

不要直接 new DocumentBuilderFactory()，优先用 DocumentBuilderFactory.newInstance("com.sun.org.apache.xerces.internal.jaxp.DocumentBuilderFactoryImpl", null) 或确保JDK版本较新（8u121+、11.0.2+），它们默认启用了部分防护，但仍需手动加固上述特性。

更稳妥的方式是封装一个工具方法，统一返回已加固的 factory 实例，避免每个地方重复漏配。

立即学习“Java免费学习笔记（深入）”；

标签： java js json apache 工具 win 一加