答案:禁用dtd和外部实体解析可有效防御xxe攻击。通过配置documentbuilderfactory、saxparserfactory、stax等解析器,关闭doctype声明和外部实体加载,使用xsd校验、限制输入大小,并对jackson、xstream等第三方库设置安全策略,结合输入验证与白名单机制,能全面防止文件读取、ssrf和拒绝服务风险。
在Java应用中处理XML数据时,如果不正确配置解析器,攻击者可能利用外部实体注入(XXE)漏洞读取服务器文件、发起SSRF攻击或造成拒绝服务。防止XXE的关键在于禁用外部实体和DTD解析。以下是具体防护措施。
禁用DTD和外部实体解析
大多数XXE攻击依赖于DTD(文档类型定义)的解析功能。通过关闭DTD支持,可从根本上阻止攻击。
以DocumentBuilderFactory为例:
DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
// 禁用DTD加载
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
// 防止外部实体
factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
// 不允许使用DTD
factory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
DocumentBuilder builder = factory.newDocumentBuilder();
使用安全的XML解析方式
避免使用默认开启DTD解析的API。推荐使用轻量且默认更安全的解析方式。
立即学习“Java免费学习笔记(深入)”;
- SAXParserFactory:与DocumentBuilderFactory类似,需显式关闭外部实体
- StAX(XMLInputFactory):流式解析,性能好,但仍需设置安全特性
- JAXB:用于对象绑定,底层仍用DOM/SAX,确保工厂配置安全
示例(StAX):
XMLInputFactory factory = XMLInputFactory.newInstance();
factory.setProperty(XMLInputFactory.SUPPORT_DTD, false);
factory.setProperty(XMLInput. FACTORY.IS_SUPPORTING_EXTERNAL_ENTITIES, false);
XMLStreamReader reader = factory.createXMLStreamReader(input);
输入验证与白名单控制
即使解析器已加固,也应验证XML来源和内容结构。
- 只接受来自可信源的XML
- 使用XSD校验代替DTD
- 限制XML大小,防止恶意构造的大文件消耗资源
- 对包含文件路径、URL等敏感字段的内容做额外检查
依赖库的安全配置
第三方库如Jackson、XStream也可能解析XML。需针对具体库设置防护。
例如XStream:
XStream xstream = new XStream();
// 使用黑白名单控制反序列化类
xstream.addPermission(NoTypePermission.NONE);
xstream.addPermission(PrimitiveTypePermission.PRIMITIVES);
xstream.allowTypes(new Class[]{YourSafeClass.class});
Jackson的XmlMapper也应关闭DTD:
XmlMapper xmlMapper = new XmlMapper();
xmlMapper.configure(Feature.USE_DTD, false);
基本上就这些。只要在解析XML前正确配置解析器特性,禁用DTD和外部实体,并结合输入控制,就能有效防御XXE攻击。安全编码习惯比事后修复更重要。
