Java怎么避免XXE攻击 DocumentBuilderFactory安全配置

Java防XXE攻击关键在于禁用DOCTYPE声明、禁用外部实体展开、禁用外部参数实体，需显式配置DocumentBuilderFactory等解析器相关安全特性并统一加固。

Java中避免XXE（XML External Entity）攻击的关键，是正确配置 DocumentBuilderFactory，禁用外部实体解析和DTD处理。默认配置下，它可能加载远程或本地敏感文件，导致信息泄露、SSRF甚至RCE。

禁用外部实体和DTD解析

这是最核心的安全配置。必须显式关闭setExpandEntityReferences(false)和setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)，否则即使没写DOCTYPE也可能被绕过。

• 禁用DOCTYPE声明：调用 factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)
• 禁止展开外部实体：调用 factory.setExpandEntityReferences(false)
• 禁用加载外部DTD：补充设置 factory.setFeature("http://xml.org/sax/features/external-general-entities", false) 和 factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false)

使用安全的默认工厂实例

不要直接 new DocumentBuilderFactory()，优先用 DocumentBuilderFactory.newInstance("com.sun.org.apache.xerces.internal.jaxp.DocumentBuilderFactoryImpl", null) 或确保JDK版本较新（8u121+、11.0.2+），它们默认启用了部分防护，但仍需手动加固上述特性。

更稳妥的方式是封装一个工具方法，统一返回已加固的 factory 实例，避免每个地方重复漏配。

立即学习“Java免费学习笔记（深入）”；

慧中标AI标书

慧中标AI标书是一款AI智能辅助写标书工具。

295

查看详情

配合XMLInputFactory等其他解析器一并防护

如果项目还用到 SAXParserFactory、XMLInputFactory（如StAX）或 Unmarshaller（JAXB），同样需要做对应禁用：

• SAXParserFactory：设置相同 features + setValidating(false)
• XMLInputFactory：调用 factory.setProperty(XMLInputFactory.SUPPORT_DTD, false) 和 factory.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false)
• JAXB：通过 Unmarshaller.setEventHandler(...) 过滤异常，或改用 JAXBContext.createUnmarshaller() 后立即配置底层解析器

考虑替代方案：避免直接解析不可信XML

若业务允许，优先用JSON替代XML；若必须处理外部XML，可先用白名单正则或轻量级校验器预筛内容，再交由加固后的DOM解析。对已知结构的XML，也可用XSD校验+严格模式进一步约束。

不复杂但容易忽略——关键就三步：禁DOCTYPE、禁实体展开、禁外部参数。配齐了，XXE基本防住。

以上就是Java怎么避免XXE攻击 DocumentBuilderFactory安全配置的详细内容，更多请关注php中文网其它相关文章！