Protection de l'API Java pour le traitement XML (JAXP) contre les entrées mal formées
Si votre application prend des fichiers XML, XSD ou XSL non sûrs en entrée, vous pouvez appliquer des limites spécifiques lors du traitement JAXP afin de la protéger contre les données incorrectement formées. Si vous spécifiez des limites, vous devez remplacer la configuration d'analyseur syntaxique XML par défaut par une configuration personnalisée.
A propos de cette tâche
Pour protéger l'application contre les données mal formées, vous pouvez appliquer des limites pendant le traitement JAXP. Ces limites peuvent être définies dans votre fichier jaxp.properties ou en spécifiant diverses propriétés système sur la ligne de commande. Cependant, pour pouvoir appliquer ces limites, vous devez également remplacer la configuration d'analyseur syntaxique XML par défaut par une configuration personnalisée qui permet d'utiliser ces limites de traitement sécurisé.
Procédure
- Sélectionnez les limites à définir pour l'application.
- Pour limiter le nombre d'extensions d'entité dans un document XML, voir -Djdk.xml.entityExpansionLimit.
- Pour limiter la taille maximale d'une entité générale, voir -Djdk.xml.maxGeneralEntitySizeLimit.
- Pour limiter la taille maximale d'une entité de paramètre, voir -Djdk.xml.maxParameterEntitySizeLimit.
Pour limiter la longueur des noms XML dans les documents XML, voir -Djdk.xml.maxXMLNameLimit.
- Pour limiter la taille totale de toutes les entités incluant des entités générales et de paramètres, voir -Djdk.xml.totalEntitySizeLimit.
- Pour définir le nombre maximal de noeuds de modèle de contenu pouvant être créés dans une grammaire, voir -Djdk.xml.maxOccur.
- Pour contrôler si les entités externes sont résolues dans un document XML, voir -Djdk.xml.resolveExternalEntities.