Java防XXE攻击关键在于禁用DOCTYPE声明、禁用外部实体展开、禁用外部参数实体,需显式配置DocumentBuilderFactory等解析器相关安全特性并统一加固。
Java中避免XXE(XML External Entity)攻击的关键,是正确配置 DocumentBuilderFactory,禁用外部实体解析和DTD处理。默认配置下,它可能加载远程或本地敏感文件,导致信息泄露、SSRF甚至RCE。
禁用外部实体和DTD解析
这是最核心的安全配置。必须显式关闭setExpandEntityReferences(false)和setFeature("http://apache.org/xml/features/disallow-doctype-decl", true),否则即使没写DOCTYPE也可能被绕过。
-
禁用DOCTYPE声明:调用
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true) -
禁止展开外部实体:调用
factory.setExpandEntityReferences(false) -
禁用加载外部DTD:补充设置
factory.setFeature("http://xml.org/sax/features/external-general-entities", false)和factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false)
使用安全的默认工厂实例
不要直接 new DocumentBuilderFactory(),优先用 DocumentBuilderFactory.newInstance("com.sun.org.apache.xerces.internal.jaxp.DocumentBuilderFactoryImpl", null) 或确保JDK版本较新(8u121+、11.0.2+),它们默认启用了部分防护,但仍需手动加固上述特性。
更稳妥的方式是封装一个工具方法,统一返回已加固的 factory 实例,避免每个地方重复漏配。
立即学习“Java免费学习笔记(深入)”;
配合XMLInputFactory等其他解析器一并防护
如果项目还用到 SAXParserFactory、XMLInputFactory(如StAX)或 Unmarshaller(JAXB),同样需要做对应禁用:
-
SAXParserFactory:设置相同 features +setValidating(false) -
XMLInputFactory:调用factory.setProperty(XMLInputFactory.SUPPORT_DTD, false)和factory.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false) - JAXB:通过
Unmarshaller.setEventHandler(...)过滤异常,或改用JAXBContext.createUnmarshaller()后立即配置底层解析器
考虑替代方案:避免直接解析不可信XML
若业务允许,优先用JSON替代XML;若必须处理外部XML,可先用白名单正则或轻量级校验器预筛内容,再交由加固后的DOM解析。对已知结构的XML,也可用XSD校验+严格模式进一步约束。
不复杂但容易忽略——关键就三步:禁DOCTYPE、禁实体展开、禁外部参数。配齐了,XXE基本防住。
