Protezione di JAXP (Java API for XML processing) da input con formato non corretto
Se l'applicazione utilizza file XML, XSD o XSL non attendibili come input, è possibile applicare limiti specifici durante l'elaborazione JAXP per proteggere l'applicazione da dati non corretti. Se si specificano i limiti, è necessario sovrascrivere la configurazione del programma di analisi XML predefinito con una configurazione personalizzata.
Informazioni su questa attività
Per proteggere l'applicazione da dati in formato non corretto, è possibile applicare limiti specifici durante l'elaborazione JAXP. Questi limiti possono essere impostati nel file jaxp.properties o specificando varie proprietà di sistema sulla riga comandi. Tuttavia, per rendere effettivi questi limiti, è necessario sovrascrivere anche la configurazione del programma di analisi XML predefinito con una configurazione personalizzata che consenta questi limiti di elaborazione sicuri.
Procedura
- Selezionare i limiti che si desidera impostare per l'applicazione.
- Per limitare il numero di espansioni di entità in un documento XML, consultare -Djdk.xml.entityExpansionLimit.
- Per limitare la dimensione massima di un'entità generale, vedere -Djdk.xml.maxGeneralEntitySizeLimit.
- Per limitare la dimensione massima di un'entità di parametro, consultare -Djdk.xml.maxParameterEntitySizeLimit.
Per limitare la lunghezza dei nomi XML nei documenti XML, consultare -Djdk.xml.maxXMLNameLimit.
- Per limitare la dimensione totale di tutte le entità che includono entità generali e di parametro, vedi -Djdk.xml.totalEntitySizeLimit.
- Per definire il numero massimo di nodi del modello di contenuti che è possibile creare in una grammatica, vedi -Djdk.xml.maxOccur.
- Per controllare se le entità esterne vengono risolte in un documento XML, consultare -Djdk.xml.resolveExternalEntities.