XML 解析异常问题解决

问题描述

The parser has encountered more than "64000" entity expansions in this document; this is the limit imposed by the JDK.

在运行 Java 应用程序时,出现了 XML 解析异常。具体表现为:

报错信息显示无法创建 StAX(Streaming API for XML)解析器,具体原因是超过了 JDK 默认的 64,000 个实体扩展限制。

以下是日志中的关键部分:

复制代码
Exception in thread "Thread-6" com.sun.xml.internal.ws.streaming.XMLReaderException: Unable to create StAX reader or writer
    at com.sun.xml.internal.ws.api.streaming.XMLStreamReaderFactory.create(XMLStreamReaderFactory.java:359)
    ...
Caused by: javax.xml.stream.XMLStreamException: Parser error at [row,col]:[1,1]
Message: JAXP00010004: The parser has encountered more than "64000" entity expansions in this document; this is the limit imposed by the JDK.
    at com.sun.org.apache.xerces.internal.impl.XMLStreamReaderImpl.next(XMLStreamReaderImpl.java:219)
    ...

异常日志分析

复制代码
Exception in thread "Thread-6" com.sun.xml.internal.ws.streaming.XMLReaderException: Unable to create StAX reader or writer
...
Caused by: javax.xml.stream.XMLStreamException: Parser error at [row,col]:[1,1]
Message: JAXP00010004: The parser has encountered more than "64000" entity expansions in this document; this is the limit imposed by the JDK.

这个异常信息表明,由于 XML 文档中的实体扩展数量超过了 JDK 的默认限制,导致无法创建 StAX 解析器。JDK(Java 开发工具包)为了防止 XML bomb 攻击,对实体扩展设置了默认限制(64,000 个)。

什么是实体扩展

在 XML 中,实体扩展(Entity Expansion)指的是对 XML 实体(Entities)的引用和替换。实体是 XML 中的一种构造,它允许在文档中定义和使用替代符号,以减少冗余或增强可读性。实体可以是字符实体、参数实体或外部实体。

实体扩展的示例

  1. 字符实体

    • 用于表示某些字符,例如:

      xml 复制代码
      &lt; 表示 <
      &gt; 表示 >
      &amp; 表示 &
  2. 内部实体

    • 定义在文档内部的实体。例如:

      xml 复制代码
      <!DOCTYPE example [
        <!ENTITY example "This is an example entity.">
      ]>
      <example>&example;</example>
    • 这里,&example; 是一个实体引用,在解析时会被替换为 This is an example entity.

  3. 外部实体

    • 引用外部资源的实体。例如:

      xml 复制代码
      <!DOCTYPE example [
        <!ENTITY example SYSTEM "http://example.com/entity.txt">
      ]>
      <example>&example;</example>

安全性问题

实体扩展的机制在处理复杂和嵌套的实体引用时,可能会导致安全性问题。特别是,恶意用户可以创建大量嵌套的实体引用,导致解析器在处理时消耗大量资源,进而引发所谓的"XML bomb"攻击。例如:

xml 复制代码
<!DOCTYPE bomb [
  <!ENTITY a "aaaaa... (1万次) ...aaaaa">
  <!ENTITY b "&a;&a;&a;&a;&a;... (1万次) ...&a;">
  <!ENTITY c "&b;&b;&b;&b;&b;... (1万次) ...&b;">
]>
<bomb>&c;</bomb>

在这种情况下,解析器必须扩展所有这些实体引用,可能会消耗大量的内存和 CPU,导致拒绝服务(DoS)。

JDK 的限制

为了防止这种类型的攻击,JDK 在 XML 解析器中设置了实体扩展的默认限制。这个限制在当前版本中是 64,000 个实体扩展。如果文档中的实体扩展超过这个数量,解析器会抛出异常。

Java 代码层面的解决方法

调整实体扩展限制

为了解决实体扩展数量超限的问题,可以增加 JDK 的实体扩展限制:

  • 运行时设置系统属性

    sh 复制代码
    java -DentityExpansionLimit=100000 -jar your-application.jar
  • 代码中设置系统属性

    java 复制代码
    public class Main {
        public static void main(String[] args) {
            System.setProperty("entityExpansionLimit", "100000");
            // 启动应用程序
        }
    }
相关推荐
十八旬10 分钟前
苍穹外卖项目实战(day7-2)-购物车操作功能完善-记录实战教程、问题的解决方法以及完整代码
java·开发语言·windows·spring boot·mysql
BIGSHU092320 分钟前
java多线程场景3-并发处理和异步请求
java·开发语言·python
_OP_CHEN29 分钟前
数据结构(C语言篇):(十一)二叉树概念介绍
c语言·开发语言·数据结构·二叉树·学习笔记··
lssjzmn36 分钟前
构建实时消息应用:Spring Boot + Vue 与 WebSocket 的有机融合
java·后端·架构
渣哥38 分钟前
Java ConcurrentHashMap vs Hashtable:差异、性能与应用场景
java
金銀銅鐵38 分钟前
[Java] 浅析可重复注解(Repeatable Annotation) 是如何实现的
java·后端
柯南二号38 分钟前
【设计模式】【观察者模式】实例
java·开发语言·servlet
Cyan_RA91 小时前
SpringMVC 执行流程分析 详解(图解SpringMVC执行流程)
java·人工智能·后端·spring·mvc·ssm·springmvc
索迪迈科技1 小时前
Java-Spring入门指南(四)深入IOC本质与依赖注入(DI)实战
java·开发语言·spring
A 风1 小时前
封装日期选择器组件,带有上周,下周按钮
开发语言·javascript·vue.js