java documentbuilderfactory 默认存在xxe风险,必须显式禁用dtd和外部实体:setvalidating(false)、disallow-doctype-decl=true、禁用外部实体相关feature,并启用secure-processing;工厂实例需每次初始化并统一加固,transformerfactory和saxparserfactory同样需同步配置。
Java 的 DocumentBuilderFactory 默认配置存在 xml 外部实体(XXE)和 DTD 解析风险,必须显式禁用不安全特性才能防止攻击。关键不是“开启安全”,而是主动关闭危险功能。
禁用 DTD 和外部实体解析
这是最核心的安全配置。DTD 是 XXE 攻击的入口,必须完全禁用:
- setValidating(false):关闭 DTD 验证(即使有 DTD 也不会加载)
- setFeature(“http://apache.org/xml/features/disallow-doctype-decl”, true):直接禁止 DOCTYPE 声明(推荐,部分 JDK 版本更可靠)
- setFeature(“http://xml.org/sax/features/external-general-entities”, false):禁用外部通用实体
- setFeature(“http://xml.org/sax/features/external-parameter-entities”, false):禁用外部参数实体
限制 XML 解析器行为
防止某些绕过手段,增强防御纵深:
- setFeature(“http://apache.org/xml/features/nonvalidating/load-external-dtd”, false):即使非验证模式也不加载外部 DTD
- setFeature(“http://javax.xml.XMLConstants/feature/secure-processing”, true):启用 JAXP 安全处理(限制内存、深度、字符串长度等)
- 避免调用
setNamespaceAware(true)后再设不安全 feature —— 应先设安全特性再设其他
使用工厂前务必重置默认状态
DocumentBuilderFactory.newInstance() 返回的实例可能受系统属性或服务提供者影响,不能依赖默认值:
立即学习“Java免费学习笔记(深入)”;
- 每次创建后立即设置全部安全 feature,不要复用未清理的 factory 实例
- 可封装为工具方法,统一初始化并返回已加固的 factory
- 示例片段:注意顺序,部分 feature 设置失败会抛
ParserConfigurationException,需捕获处理
配合 TransformerFactory 和 SAXParserFactory 一并加固
仅配 DocumentBuilderFactory 不够。若代码中还用到 XSLT 转换或 SAX 解析,同样需加固:
-
TransformerFactory:设setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true) -
SAXParserFactory:同 DocumentBuilderFactory,禁用 DTD 和外部实体 - 所有 XML 相关工厂都应遵循“默认禁用、显式启用”原则