XML 解析异常问题解决

问题描述

The parser has encountered more than "64000" entity expansions in this document; this is the limit imposed by the JDK.

在运行 Java 应用程序时,出现了 XML 解析异常。具体表现为:

报错信息显示无法创建 StAX(Streaming API for XML)解析器,具体原因是超过了 JDK 默认的 64,000 个实体扩展限制。

以下是日志中的关键部分:

复制代码
Exception in thread "Thread-6" com.sun.xml.internal.ws.streaming.XMLReaderException: Unable to create StAX reader or writer
    at com.sun.xml.internal.ws.api.streaming.XMLStreamReaderFactory.create(XMLStreamReaderFactory.java:359)
    ...
Caused by: javax.xml.stream.XMLStreamException: Parser error at [row,col]:[1,1]
Message: JAXP00010004: The parser has encountered more than "64000" entity expansions in this document; this is the limit imposed by the JDK.
    at com.sun.org.apache.xerces.internal.impl.XMLStreamReaderImpl.next(XMLStreamReaderImpl.java:219)
    ...

异常日志分析

复制代码
Exception in thread "Thread-6" com.sun.xml.internal.ws.streaming.XMLReaderException: Unable to create StAX reader or writer
...
Caused by: javax.xml.stream.XMLStreamException: Parser error at [row,col]:[1,1]
Message: JAXP00010004: The parser has encountered more than "64000" entity expansions in this document; this is the limit imposed by the JDK.

这个异常信息表明,由于 XML 文档中的实体扩展数量超过了 JDK 的默认限制,导致无法创建 StAX 解析器。JDK(Java 开发工具包)为了防止 XML bomb 攻击,对实体扩展设置了默认限制(64,000 个)。

什么是实体扩展

在 XML 中,实体扩展(Entity Expansion)指的是对 XML 实体(Entities)的引用和替换。实体是 XML 中的一种构造,它允许在文档中定义和使用替代符号,以减少冗余或增强可读性。实体可以是字符实体、参数实体或外部实体。

实体扩展的示例

  1. 字符实体

    • 用于表示某些字符,例如:

      xml 复制代码
      &lt; 表示 <
      &gt; 表示 >
      &amp; 表示 &
  2. 内部实体

    • 定义在文档内部的实体。例如:

      xml 复制代码
      <!DOCTYPE example [
        <!ENTITY example "This is an example entity.">
      ]>
      <example>&example;</example>
    • 这里,&example; 是一个实体引用,在解析时会被替换为 This is an example entity.

  3. 外部实体

    • 引用外部资源的实体。例如:

      xml 复制代码
      <!DOCTYPE example [
        <!ENTITY example SYSTEM "http://example.com/entity.txt">
      ]>
      <example>&example;</example>

安全性问题

实体扩展的机制在处理复杂和嵌套的实体引用时,可能会导致安全性问题。特别是,恶意用户可以创建大量嵌套的实体引用,导致解析器在处理时消耗大量资源,进而引发所谓的"XML bomb"攻击。例如:

xml 复制代码
<!DOCTYPE bomb [
  <!ENTITY a "aaaaa... (1万次) ...aaaaa">
  <!ENTITY b "&a;&a;&a;&a;&a;... (1万次) ...&a;">
  <!ENTITY c "&b;&b;&b;&b;&b;... (1万次) ...&b;">
]>
<bomb>&c;</bomb>

在这种情况下,解析器必须扩展所有这些实体引用,可能会消耗大量的内存和 CPU,导致拒绝服务(DoS)。

JDK 的限制

为了防止这种类型的攻击,JDK 在 XML 解析器中设置了实体扩展的默认限制。这个限制在当前版本中是 64,000 个实体扩展。如果文档中的实体扩展超过这个数量,解析器会抛出异常。

Java 代码层面的解决方法

调整实体扩展限制

为了解决实体扩展数量超限的问题,可以增加 JDK 的实体扩展限制:

  • 运行时设置系统属性

    sh 复制代码
    java -DentityExpansionLimit=100000 -jar your-application.jar
  • 代码中设置系统属性

    java 复制代码
    public class Main {
        public static void main(String[] args) {
            System.setProperty("entityExpansionLimit", "100000");
            // 启动应用程序
        }
    }
相关推荐
Q一件事25 分钟前
R语言随机森林分析显示R方和P值
开发语言·随机森林·r语言
我是华为OD~HR~栗栗呀26 分钟前
华为OD-Java面经-21届考研
java·c++·后端·python·华为od·华为·面试
Mr.Jessy30 分钟前
JavaScript学习第六天:函数
开发语言·前端·javascript·学习·html·1024程序员节
考虑考虑35 分钟前
流收集器
java·后端·java ee
今天背单词了吗98042 分钟前
Spring Boot+RabbitMQ 实战:4 种交换机模式(Work/Fanout/Direct/Topic)保姆级实现
java·spring·中间件·rabbitmq·1024程序员节
九皇叔叔1 小时前
Java循环结构全解析:从基础用法到性能优化
java·开发语言·性能优化
流星5211221 小时前
GC 如何判断对象该回收?从可达性分析到回收时机的关键逻辑
java·jvm·笔记·学习·算法
csdn_aspnet1 小时前
Java 圆台体积和表面积计算程序(Program for Volume and Surface area of Frustum of Cone)
java
sulikey1 小时前
Qt 入门简洁笔记:从框架概念到开发环境搭建
开发语言·前端·c++·qt·前端框架·visual studio·qt框架
zzzsde2 小时前
【C++】stack和queue:优先级队列的使用及底层原理
开发语言·c++