如果我在应用程序中使用XmlPullParser,它是否可能会面临像"billion laughs"这样的漏洞?
在使用XmlPullParser时应采取哪些安全措施?
Android XmlPullParser 如何处理漏洞?
5
- sameer54321
4
@user13请停止在关键词上添加反引号,这是不合适的。http://meta.stackexchange.com/questions/135112/inline-code-spans-should-not-be-used-for-emphasis-right - user
你说的反引号是什么意思?我不明白这个问题有什么不合适的地方? - sameer54321
我的评论不是针对你的(你的问题很好),而是针对另一个用户对你的问题进行了不恰当的编辑。 - user
哦,好的,那我道歉 :) - sameer54321
1个回答
1
默认情况下,
还建议不要使用未知来源的 DTD 验证 XML。最好的方法是在应用程序中使用嵌入式 DTD 并使用它来验证 XML。
您可以通过以下链接了解有关 XML 外部实体的更多信息:
XMlPullParser 不会解析实体,因此您不会遇到此类漏洞。但是,在尝试解析未声明的实体时,您将不得不处理抛出的异常。
为保持这种行为,您必须确保在任何文档解析之前将 XMlPullParser.FEATURE_PROCESS_DOCDECL 设置为 false。还建议不要使用未知来源的 DTD 验证 XML。最好的方法是在应用程序中使用嵌入式 DTD 并使用它来验证 XML。
您可以通过以下链接了解有关 XML 外部实体的更多信息:
- Arnaud Develay
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接