如果我在应用程序中使用XmlPullParser,它是否可能会面临像"billion laughs"这样的漏洞?
在使用XmlPullParser时应采取哪些安全措施?
如果我在应用程序中使用XmlPullParser,它是否可能会面临像"billion laughs"这样的漏洞?
在使用XmlPullParser时应采取哪些安全措施?
XMlPullParser
不会解析实体,因此您不会遇到此类漏洞。但是,在尝试解析未声明的实体时,您将不得不处理抛出的异常。
为保持这种行为,您必须确保在任何文档解析之前将 XMlPullParser.FEATURE_PROCESS_DOCDECL
设置为 false。