잘못된 형식의 입력에 대한 JAXP(Java API for XML Processing) 보안

애플리케이션이 신뢰되지 않은 XML, XSD 또는 XSL 파일을 입력으로 받아들이는 경우 잘못된 형식의 데이터로부터 애플리케이션을 보호하기 위해 JAXP 처리 중에 특정 한계를 적용할 수 있습니다. 한계를 지정하는 경우 기본 XML 구문 분석기 구성을 사용자 정의 구성으로 대체해야 합니다.

이 태스크에 대한 정보

잘못된 형식의 데이터로부터 애플리케이션을 보호하기 위해 JAXP 처리 중에 특정 한계를 적용할 수 있습니다. 이러한 제한은 jaxp.properties 파일에서 설정하거나 명령행에 다양한 시스템 특성을 지정하여 설정할 수 있습니다. 하지만 이 한계를 적용하려면 기본 XML 구문 분석기 구성을 이 보안 처리 한계를 허용하는 사용자 정의 구성으로 대체해야 합니다.

참고: IBM XML 구현은 IBM® SDK, Java™ Technology Edition, 버전 8에서 더 이상 사용되지 않으며 향후 릴리스에서 Oracle XML 구현으로 대체됩니다.

프로시저

애플리케이션에 설정할 한계를 선택하십시오.
- XML 문서에서 엔티티 확장 수를 제한하려면 -Djdk.xml.entityExpansionLimit를 참조하십시오.
- 일반 엔티티의 최대 크기를 제한하려면 -Djdk.xml.maxGeneralEntitySizeLimit를 참조하십시오.
- 매개변수 엔티티의 최대 크기를 제한하려면 -Djdk.xml.maxParameterEntitySizeLimit를 참조하십시오.
- XML 문서에서 XML 이름의 길이를 제한하려면 -Djdk.xml.maxXMLNameLimit를 참조하십시오.
- 일반 및 매개변수 엔티티를 포함하는 모든 엔티티의 총 크기를 제한하려면 -Djdk.xml.totalEntitySizeLimit를 참조하십시오.
- 문법에서 작성할 수 있는 컨텐츠 모델 노드의 최대 수를 정의하려면 -Djdk.xml.maxOccur을 참조하십시오.
- 외부 엔티티가 XML 문서에서 해석되는지 여부를 제어하려면 -Djdk.xml.resolveExternalEntities를 참조하십시오.
기본 XML 구문 분석기 구성을 겹쳐쓰려면 명령행에서 -Dorg.apache.xerces.xni.parser.XMLParserConfiguration=config_file시스템 특성을 지정하여 사용자 정의 구성을 설정하십시오. 여기서 config_file 은 org.apache.xerces.parsers.SecureProcessingConfiguration입니다. 전체 대체 메커니즘에 대한 자세한 정보는 http://xerces.apache.org/xerces2-j/faq-xni.html#faq-2의 내용을 참조하십시오.