私の問題:
Fortify 4.2.1 は、以下のコードを XML 外部エンティティ攻撃の影響を受けやすいものとしてマークしています。
TransformerFactory factory = TransformerFactory.newInstance();
StreamSource xslStream = new StreamSource(inputXSL);
Transformer transformer = factory.newTransformer(xslStream);
私が試した解決策:
TransformerFactory 機能
XMLConstants.FEATURE_SECURE_PROCESSINGを true に設定します。DOM および SAX パーサーの場合と同様に、TransformerFactory にそのような機能をさらに提供する可能性を検討しました。たとえば、doctype 宣言の禁止など
XMLConstants.FEATURE_SECURE_PROCESSING。実装コード
私が行っていない可能性があると思われるリソースや、この問題の解決策を教えてください。