JAX-RPC 和 Axis2 是否可以防止 XML 注入？

Question

JAX-RPC 和 Axis2 是否具有对 XML 注入 的内置支持？

如果没有，我如何添加自定义代码来自行执行转义和模式验证？

编辑：我查看了JAX-RPC生成的代码，看起来代码执行了架构验证 - 所以这是防止XML注入<的一个步骤/代码>。 剩下的问题是——角色转义怎么办？

关于 Axis2 - 我认为它是基于代表模型的实际 bean 上的注释来完成的 - 所以如果没有限制注释 - 它似乎XML注入是可能的 - 但我也更喜欢专家对此的回答。

Answer 1

如果这些技术中的任何一种都容易受到 XML 注入的攻击，我会感到惊讶（顺便问一下，您是指 XPath 注入吗？）。它们基于标准 Java API（例如已经存在很长时间的 JAXP）构建，并自动转义任何危险字符 <、& 等。

这并不意味着您在自己的应用程序中使用这些技术时不必小心不要引入注入漏洞。例如，在 Java 中安全地参数化 XPath 查询似乎仍然很困难。