在 java 中使用 XSD 进行 XML 验证

发布于 2024-10-10 02:42:57 字数 1338 浏览 4 评论 0原文

我有以下课程：

package com.somedir.someotherdir;

import java.util.logging.Level;
import java.util.logging.Logger;

import javax.xml.XMLConstants;
import javax.xml.transform.stream.StreamSource;
import javax.xml.validation.Schema;
import javax.xml.validation.SchemaFactory;
import javax.xml.validation.Validator;

public class SchemaValidator
{
 private static Logger _logger = Logger.getLogger(SchemaValidator.class.getName());

 /**
  * @param file - the relative path to and the name of the XML file to be validated
  * @return true if validation succeeded, false otherwise
  */
 public final static boolean validateXML(String file)
 {
  try
  {
   SchemaFactory factory = SchemaFactory.newInstance(XMLConstants.W3C_XML_SCHEMA_NS_URI);
   Schema schema = factory.newSchema();
   Validator validator = schema.newValidator();
   validator.validate(new StreamSource(file));
   return true;
  }
  catch (Exception e)
  {
   _logger.log(Level.WARNING, "SchemaValidator: failed validating " + file + ". Reason: " + e.getMessage(), e);
   return false;
  }
 }
}

我想知道我是否应该使用 schema.newValidator("dir/to/schema.xsd") 还是当前版本可以？我读到有一些 DoS 漏洞，也许有人可以提供更多信息？另外，路径必须是绝对路径还是相对路径？
大多数要验证的 XML 都有自己的 XSD，因此我想读取 XML 本身中提到的架构 (xs:noNamespaceSchemaLocation="schemaname.xsd")。
仅在启动或手动重新加载（服务器软件）期间进行验证。

原文

I have the following class:

package com.somedir.someotherdir;

import java.util.logging.Level;
import java.util.logging.Logger;

import javax.xml.XMLConstants;
import javax.xml.transform.stream.StreamSource;
import javax.xml.validation.Schema;
import javax.xml.validation.SchemaFactory;
import javax.xml.validation.Validator;

public class SchemaValidator
{
 private static Logger _logger = Logger.getLogger(SchemaValidator.class.getName());

 /**
  * @param file - the relative path to and the name of the XML file to be validated
  * @return true if validation succeeded, false otherwise
  */
 public final static boolean validateXML(String file)
 {
  try
  {
   SchemaFactory factory = SchemaFactory.newInstance(XMLConstants.W3C_XML_SCHEMA_NS_URI);
   Schema schema = factory.newSchema();
   Validator validator = schema.newValidator();
   validator.validate(new StreamSource(file));
   return true;
  }
  catch (Exception e)
  {
   _logger.log(Level.WARNING, "SchemaValidator: failed validating " + file + ". Reason: " + e.getMessage(), e);
   return false;
  }
 }
}

I would like to know if I should use schema.newValidator("dir/to/schema.xsd") after all or is the current version alright? I read that there's some DoS vulnerability, maybe someone could provide more info on that? Also, does the path have to be absolute or relative?
Most of the XMLs to be validated each have their own XSD, so I'd like to read the schema that is mentioned in the XML itself (xs:noNamespaceSchemaLocation="schemaname.xsd").
The validation is done only during startup or manual reload (server software).

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

乱世争霸 2024-10-17 02:42:57

您真的是指 XML DTD DOS 攻击吗？如果是这样，网上有一些不错的文章：

XML 拒绝服务攻击和防御 http://msdn.microsoft.com/en-us/magazine/ee335713.aspx

来自 IBMdeveloperWorks。 “提示：配置 SAX 解析器以进行安全处理”：

实体解析在 XML 中打开了许多潜在的安全漏洞。[...]
- 托管外部 DTD 的站点可以记录通信。 [...]
- 托管 DTD 的站点可能会减慢解析速度 [...] 它还可以通过提供格式错误的 DTD 来完全停止解析。
- 如果远程站点更改了 DTD，它可以使用默认属性值将新内容注入到文档中[...]它可以通过重新定义实体引用来更改文档的内容。

我想我不确定它是否可以直接应用于你的程序，它可以为进一步调查提供一些线索

回复收藏 0 原文

随梦而飞# 2024-10-17 02:42:57

据我解释，

如果您的模式引用互联网上托管的模式，则 Schema 对象将尝试在运行时获取它们。据我所知，默认的 Schema 实现不会缓存这些架构。 W3C 已报告不良编码实践导致对其网站事实上的 DDoS（每天高达 1.3 亿个 dtd 请求！）。
如果您要验证外部不受控制的 xml 文件，那么您还会遇到尝试从“可能是恶意的”xml 源获取其他架构的 Schema。

对于更多邪恶的攻击媒介，请查看 sign 之前的答案

为了避免这个陷阱，您可以在本地存储所有外部资源并使用 SchemaFactory.setResourceResolver 方法指示 Schema 如何获取它们。