私は、doctype宣言を含むxml soaprequestをサーバーに送信しているクライアントを使用しています
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [
<!ENTITY xxe SYSTEM "///etc/SuSE-brand">
]>
エンティティの 1 つで &xxe; を送信しています。としての入力として<comments>&xxe;</comments>
。これが外部エンティティ インジェクションです。サーバー側では、リクエストが最初に到達したときに解析され、コメント フィールドに場所 /etc/SuSe-brand のテキストが表示されます。
この Doctype の解析を停止したいのですが、Doctype があるかどうかを確認してから、解析を停止する必要があります。または、XML エンティティ インジェクションのチェックに使用する JAX-WS のバージョンを誰か提案できますか?