JAX-RPCとAxis2はXMLインジェクションから保護されていますか？

Question

JAX-RPCとAxis2にはXML injectionの組み込みサポートがありますか？

もしそうでない場合は、独自のエスケープとスキーマの検証を実行するカスタムコードを追加するにはどうすればよいですか？

編集：コードは、スキーマ検証を行い、同様に私はJAX-RPCによって生成されたコードを見て、それが見えます - そのためには、XML injectionからの保護に向けた一歩です。 残っている質問は - 文字エスケープはどうですか？

についてAxis2 - 制限annotationsが存在しないので、もし - - XML injectionが可能であるようにそれはそう - 私はそれがモデルを表す実際の豆にannotationsに基づいて行われていると思いますが、私は同様にその上の専門家の答えを好むだろう。

Answer 1

これらのテクノロジのいずれかがXMLインジェクションの脆弱性を持っていれば驚くでしょう（途中でXPathインジェクションを意味しますか？）。 JAXPのような標準的なJava APIをベースに構築されており、危険な文字である<,&などを自動的にエスケープします。

あなた自身のアプリケーションでこれらの技術を使用する際に注入脆弱性を導入しないように注意する必要はありません。たとえば、Javaでパラメータ化されたXPathクエリを安全に処理することは難しいようです。