我在fortify报告中的第4行有一个XML外部实体注入的安全警告。我不知道如何解决这个问题。我对SOAP,JAXB和Marshaller很陌生。
1 private TargetObject convert( ResponseEntity<String> response ) throws JAXBException{
2 JAXBContext jaxbContext = JAXBContext.newInstance( TargetObject.class );
3 Unmarshaller unmarshaller = jaxbContext.createUnmarshaller();
4 StringReader reader = new StringReader( Objects.requireNonNull( response.getBody() ) );
5 TargetObject targetObject = (ArrayOfOrderList) unmarshaller.unmarshal( reader );
6 return targetObject;
7 }
第4行(XML外部实体注入)高问题详情王国。输入验证和表示 扫描引擎:SCA(Semantic) Sink详情 Sink:unmarshal()
先谢谢你
我推荐你阅读: OWASP XXE预防攻略......这会让你得到解决方案