JAX-RPC
とAxis2
にはXML injection
の組み込みサポートがありますか?JAX-RPCとAxis2はXMLインジェクションから保護されていますか?
もしそうでない場合は、独自のエスケープとスキーマの検証を実行するカスタムコードを追加するにはどうすればよいですか?
編集:コードは、スキーマ検証を行い、同様に私はJAX-RPC
によって生成されたコードを見て、それが見えます - そのためには、XML injection
からの保護に向けた一歩です。 残っている質問は - 文字エスケープはどうですか?
についてAxis2
- 制限annotations
が存在しないので、もし - - XML injection
が可能であるようにそれはそう - 私はそれがモデルを表す実際の豆にannotations
に基づいて行われていると思いますが、私は同様にその上の専門家の答えを好むだろう。
答えをいただきありがとうございます。私は彼らがエスケープしていると確信しています。しかし、「非直列化」中には、あまり残されていないことはありません。サーバーがあり、クライアントがこれらのツールを使用していない場合、XMLにアクセスする前に誰でもXMLを操作できる余地が残っています。それは私にまだ脆弱なままです。 – RonK
XMLインジェクションと同じ定義を使用しているかどうかはわかりません。おそらくあなたはあなたの質問を正確に更新することができますか? – artbristol