安全的Map转XML方法
背景
前两天微信爆出了漏洞(XXE漏洞),经过该漏洞,攻击者能够获取服务器中目录结构、文件内容,如代码、各类私钥等。获取这些信息之后,攻击者即可觉得所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。 前两天微信爆出了漏洞(XXE漏洞),,经过该漏洞,攻击者能够获取服务器中目录结构、文件内容,如代码、各类私钥等。获取这些信息之后,攻击者即可觉得所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。java
缘由
这次曝出的漏洞属于XXE漏洞,即XML外部实体注入(XML External Entity Injection)。XML文档处理能够包含声明和元素之外,还能够包含文档类型定义(即DTD);在DTD中,能够引进实体,在解析XML时,实体将会被替换成相应的引用内容。该实体能够由外部引入(支持http、ftp等协议,后文以http为例说明),若是经过该外部实体进行攻击,就是XXE攻击。 能够说,XXE漏洞之因此可以存在,本质上在于在解析XML的时候,能够与外部进行通讯;当XML文档能够由攻击者任意构造时,攻击便成为可能。在利用XXE漏洞能够作的事情当中,最多见最容易实现的,即是读取服务器的信息,包括目录结构、文件内容等;本次微信支付爆出的漏洞便属于这一种。apache
解决方案
禁止解析XML时访问外部实体便可服务器
代码实现
package com.koolyun.eas.account.util;
import org.w3c.dom.Document;
import javax.xml.XMLConstants;
import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.ParserConfigurationException;
import javax.xml.transform.OutputKeys;
import javax.xml.transform.Transformer;
import javax.xml.transform.TransformerFactory;
import javax.xml.transform.dom.DOMSource;
import javax.xml.transform.stream.StreamResult;
import java.io.StringWriter;
import java.util.Map;
public class XmlUtil {
/**
* 将Map转换为XML格式的字符串
*
* @param data Map类型数据
* @return XML格式的字符串
* @throws Exception
*/
public static String mapToXml(Map<String, String> data) throws Exception {
org.w3c.dom.Document document = newDocument();
org.w3c.dom.Element root = document.createElement("xml");
document.appendChild(root);
for (String key: data.keySet()) {
String value = data.get(key);
if (value == null) {
value = "";
}
value = value.trim();
org.w3c.dom.Element filed = document.createElement(key);
filed.appendChild(document.createTextNode(value));
root.appendChild(filed);
}
TransformerFactory tf = TransformerFactory.newInstance();
Transformer transformer = tf.newTransformer();
DOMSource source = new DOMSource(document);
transformer.setOutputProperty(OutputKeys.ENCODING, "UTF-8");
transformer.setOutputProperty(OutputKeys.INDENT, "yes");
StringWriter writer = new StringWriter();
StreamResult result = new StreamResult(writer);
transformer.transform(source, result);
String output = writer.getBuffer().toString(); //.replaceAll("\n|\r", "");
try {
writer.close();
}
catch (Exception ex) {
}
return output;
}
public static DocumentBuilder newDocumentBuilder() throws ParserConfigurationException {
DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
documentBuilderFactory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
documentBuilderFactory.setXIncludeAware(false);
documentBuilderFactory.setExpandEntityReferences(false);
return documentBuilderFactory.newDocumentBuilder();
}
public static Document newDocument() throws ParserConfigurationException {
return newDocumentBuilder().newDocument();
}
}
相关文章
- 1. map 转换 xml ; xml转map
- 2. JDOM xml转map
- 3. Map转Xml
- 4. java xml转json json转xml(json转map)
- 5. 工具类--map 转成xml xml转成map
- 6. xml字符串转换map map转换xml字符串
- 7. json转map方法
- 8. 四种方法使Map线程安全
- 9. map对象转换成xml
- 10. DozerBeanMapper + 对象转Map方法
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代码 - C#教程
- • Composer 安装与使用
- • 常用的分布式事务解决方案
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
