Protección de JAXP (Java API for XML processing) frente a entradas con formato incorrecto

Si su aplicación acepta archivos XML, XSD o XSL no fiables como entrada, puede instaurar límites específicos durante el proceso de JAXP para proteger su aplicación frente a datos con formato incorrecto. Si especifica niveles, debe alterar temporalmente la configuración predeterminada del analizador XML con una configuración personalizada.

1. Seleccione los límites que desea establecer para su aplicación.
   • Para limitar el número de expansiones de entidad en un documento XML, consulte -Djdk.xml.entityExpansionLimit.
   • Para limitar el tamaño máximo de una entidad general, consulte -Djdk.xml.maxGeneralEntitySizeLimit.
   • Para limitar el tamaño máximo de una entidad de parámetro, consulte -Djdk.xml.maxParameterEntitySizeLimit.
   • Para limitar la longitud de los nombres XML en los documentos XML, consulte -Djdk.xml.maxXMLNameLimit.
   • Para limitar el tamaño total de todas las entidades que incluyen entidades generales y de parámetros, consulte -Djdk.xml.totalEntitySizeLimit.
   • Para definir el número máximo de nodos de modelo de contenido que se pueden crear en una gramática, consulte -Djdk.xml.maxOccur.
   • Para controlar si las entidades externas se resuelven en un documento XML, consulte -Djdk.xml.resolveExternalEntities.
2. Para alterar temporalmente la configuración del analizador XML predeterminado, establezca la configuración personalizada especificando la siguiente propiedad del sistema en la línea de mandatos: -Dorg.apache.xerces.xni.parser.XMLParserConfiguration=archivo_config, donde archivo_config es org.apache.xerces.parsers.SecureProcessingConfiguration. Para obtener más información sobre el mecanismo de alteración temporal completa, consulte http://xerces.apache.org/xerces2-j/faq-xni.html#faq-2.