org.xml.sax.SAXNotRecognizedException： property 'http://javax.xml.XMLConstants/property/accessExternalDTD' is not reregned

java xml xml-parsing xxe

2022-09-04 07:09:31

我想在我的项目中防止XXE攻击。这是一个旧的api项目，运行在java 7（没有maven）和jboss-as-7服务器上。但在执行过程中，我得到错误：org.xml.sax.SAXNotRecognizedException：属性“http://javax.xml.XMLConstants/property/accessExternalDTD”无法识别。

 org.xml.sax.SAXNotRecognizedException: Property 'http://javax.xml.XMLConstants/property/accessExternalDTD' is not recognized.

15:19:02,845 ERROR [stderr] (http-localhost-127.0.0.1-8080-3)   at org.apache.xerces.jaxp.validation.ValidatorImpl.setProperty(ValidatorImpl.java:218)

15:19:02,846 ERROR [stderr] (http-localhost-127.0.0.1-8080-3)   at com.uid.kua.web.KUARestController.authenticateAtAUA(KUARestController.java:118)

15:19:02,847 ERROR [stderr] (http-localhost-127.0.0.1-8080-3)   at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)

15:19:02,847 ERROR [stderr] (http-localhost-127.0.0.1-8080-3)   at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:57)

15:19:02,848 ERROR [stderr] (http-localhost-127.0.0.1-8080-3)   at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)

15:19:02,849 ERROR [stderr] (http-localhost-127.0.0.1-8080-3)   at java.lang.reflect.Method.invoke(Method.java:606)

我已经搜索了它，每个论坛都有一些不同的含义，说它是一个错误。我没有找到任何与此例外相关的解决方案。请帮忙。提前致谢。

答案 1

最后我解决了它。我正在发布答案，以防这对任何人有所帮助。通过在线解决方案后，我无法检测到导致上述错误的主要问题。对于xxe预防，我们需要一些定义的属性，例如：XMLConstants.ACCESS_EXTERNAL_DTD XMLConstants.ACCESS_EXTERNAL_SCHEMA

我们需要 xerces 和 jaxp-api jar 来 pasrse xml，并通过设置上述一些属性来防止 api 提供的 xxe 来解析 xml。在 JDK 7 之前，这些已经包含在 JDK 7 及更高版本中。因此，我们不需要在项目类路径中导入上述 jar。

在我的情况下，我使用jboss-as-7.1.1.Final作为应用程序服务器，它也有自己的xerces jar（org.apache.xerces.）。）。但是java也附带了它自己的xerces和jaxp实现（com.sun.xerces.）。因此，在部署战争时，我们得到了上述错误，因为这两个jar相互冲突，其中jboss加载了它自己的xerces jar。

溶液：我们需要通过在jboss/org/apache/xerces/main/modules中进行更改来排除jboss xerces实现.xml文件。注释掉这些行，如下所示：

> <module xmlns="urn:jboss:module:1.1" name="org.apache.xerces">    
> <!--
>     <resources>
>         <resource-root path="xercesImpl-2.9.1-jbossas-1.jar"/>
>         Insert resources here
>     </resources>
> -->
>     <dependencies>
>         <module name="javax.api"/>
>     </dependencies>
> 
> </module>

现在部署并运行应用程序。快乐编码。

答案 2

似乎在 JAXP 1.5 中引入了 accessExternalDTD 和 accessExternalSchema 这两个属性。但是，Java EE 6（甚至仍然是Java EE 8）仅附带JAXP 1.4。

在我的情况下（在WildFly 19和AdoptOpenJDK 11上运行），我能够通过使用Java 9中引入的静态newDefaultInstance（）方法来获取JDK的默认 DocumentBuilderFactory和SchemaFactory实例。在Java 8中，这两个类都有一个新的Instance方法，您可以在其中指定类名，即com.sun.org.apache.xerces.internal.jaxp.DocumentBuilderFactoryImpl和com.sun.org.apache.xerces.internal.jaxp.validation.XMLSchemaFactory。

此解决方案避免了更改 JBoss 模块。