gv7.me
探究Java中XXE漏洞的深层原理
前段时间微信支付JDK又出现了XXE漏洞,原因是对前一个XXE漏洞没有修复成功。细思深层原因,是因为对Java JDK提供的API函数理解不正确,导致误用函数进行防御。我不禁思考了以下问题: 1.Java中XXE漏洞的深层原理是什么? 2.以下代码为何无法防御XXE? 1DocumentBuilderFactory.setExpandEntityReferences(false) 3.以下代码为何