最近正在写小程序,刚刚把支付功能写完就曝出了这个漏洞😤
解决方法如下:
/**
* 防XXE注入实体攻击
* 过滤关键词:SYSTEM、DOCTYPE、ENTITY、PUBLIC。
*/
public static String filterXXE(String xmlStr){
xmlStr = xmlStr.replace("SYSTEM", "").replace("DOCTYPE", "").replace("ENTITY", "").replace("PUBLIC", "");
return xmlStr;
}
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于