XML 解析异常问题解决

szial2024-07-16 17:05

问题描述

The parser has encountered more than "64000" entity expansions in this document; this is the limit imposed by the JDK.

在运行 Java 应用程序时,出现了 XML 解析异常。具体表现为:

报错信息显示无法创建 StAX(Streaming API for XML)解析器,具体原因是超过了 JDK 默认的 64,000 个实体扩展限制。

以下是日志中的关键部分:

复制代码 
Exception in thread "Thread-6" com.sun.xml.internal.ws.streaming.XMLReaderException: Unable to create StAX reader or writer
    at com.sun.xml.internal.ws.api.streaming.XMLStreamReaderFactory.create(XMLStreamReaderFactory.java:359)
    ...
Caused by: javax.xml.stream.XMLStreamException: Parser error at [row,col]:[1,1]
Message: JAXP00010004: The parser has encountered more than "64000" entity expansions in this document; this is the limit imposed by the JDK.
    at com.sun.org.apache.xerces.internal.impl.XMLStreamReaderImpl.next(XMLStreamReaderImpl.java:219)
    ...

异常日志分析

复制代码 
Exception in thread "Thread-6" com.sun.xml.internal.ws.streaming.XMLReaderException: Unable to create StAX reader or writer
...
Caused by: javax.xml.stream.XMLStreamException: Parser error at [row,col]:[1,1]
Message: JAXP00010004: The parser has encountered more than "64000" entity expansions in this document; this is the limit imposed by the JDK.

这个异常信息表明,由于 XML 文档中的实体扩展数量超过了 JDK 的默认限制,导致无法创建 StAX 解析器。JDK(Java 开发工具包)为了防止 XML bomb 攻击,对实体扩展设置了默认限制(64,000 个)。

什么是实体扩展

在 XML 中,实体扩展(Entity Expansion)指的是对 XML 实体(Entities)的引用和替换。实体是 XML 中的一种构造,它允许在文档中定义和使用替代符号,以减少冗余或增强可读性。实体可以是字符实体、参数实体或外部实体。

实体扩展的示例

  1. 字符实体

    • 用于表示某些字符,例如:

      xml 复制代码 
      &lt; 表示 <
&gt; 表示 >
&amp; 表示 &

  2. 内部实体

    • 定义在文档内部的实体。例如:

      xml 复制代码 
      <!DOCTYPE example [
  <!ENTITY example "This is an example entity.">
]>
<example>&example;</example>

    • 这里,&example; 是一个实体引用,在解析时会被替换为 This is an example entity.

  3. 外部实体

    • 引用外部资源的实体。例如:

      xml 复制代码 
      <!DOCTYPE example [
  <!ENTITY example SYSTEM "http://example.com/entity.txt">
]>
<example>&example;</example>

安全性问题

实体扩展的机制在处理复杂和嵌套的实体引用时,可能会导致安全性问题。特别是,恶意用户可以创建大量嵌套的实体引用,导致解析器在处理时消耗大量资源,进而引发所谓的"XML bomb"攻击。例如:

xml 复制代码 
<!DOCTYPE bomb [
  <!ENTITY a "aaaaa... (1万次) ...aaaaa">
  <!ENTITY b "&a;&a;&a;&a;&a;... (1万次) ...&a;">
  <!ENTITY c "&b;&b;&b;&b;&b;... (1万次) ...&b;">
]>
<bomb>&c;</bomb>

在这种情况下,解析器必须扩展所有这些实体引用,可能会消耗大量的内存和 CPU,导致拒绝服务(DoS)。

JDK 的限制

为了防止这种类型的攻击,JDK 在 XML 解析器中设置了实体扩展的默认限制。这个限制在当前版本中是 64,000 个实体扩展。如果文档中的实体扩展超过这个数量,解析器会抛出异常。

Java 代码层面的解决方法

调整实体扩展限制

为了解决实体扩展数量超限的问题,可以增加 JDK 的实体扩展限制:

  • 运行时设置系统属性

    sh 复制代码 
    java -DentityExpansionLimit=100000 -jar your-application.jar

  • 代码中设置系统属性

    java 复制代码 
    public class Main {
    public static void main(String[] args) {
        System.setProperty("entityExpansionLimit", "100000");
        // 启动应用程序
    }
}
相关推荐
唐僧洗头爱飘柔952712 分钟前
【SpringCloud(1)】初识微服务架构:创建一个简单的微服务;java与Spring与微服务;初入RestTemplate
java·spring·spring cloud·微服务·架构·resttemplate·java微服务技术栈
月疯1 小时前
JAVA和FLASK实现参数传递(亲测)
java·开发语言·flask
froginwe111 小时前
HTML 表格
开发语言
一只小松许️1 小时前
深入理解 Rust 的内存模型:变量、值与指针
java·开发语言·rust
无限进步_1 小时前
【C语言】寻找数组中唯一不重复的元素
c语言·开发语言·算法
A阳俊yi1 小时前
Spring——事件机制
java·后端·spring
Fency咖啡2 小时前
Spring进阶 - SpringMVC实现原理(二)DispatcherServlet处理请求的过程
java·后端·spring·mvc
m0_651593912 小时前
位置透明性、Spring Cloud Gateway与reactor响应式编程的关系
java·spring cloud·系统架构·gateway
玉树临风江流儿3 小时前
Cmake使用CPack实现打包
java·服务器·前端
yunmi_3 小时前
微服务,Spring Cloud 和 Eureka:服务发现工具
java·spring boot·spring cloud·微服务·eureka·架构·服务发现
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04GitHub 镜像站点05jdk21下载、安装(Windows、Linux、macOS)06adb安装教程(附adb命令大全详解)adb环境配置教程07零基础搭建赛博朋克个人主页:蓝耘Claude Code完整实战教程08Linux下V2Ray安装配置指南0946个Nano-banana 精选提示词,持续更新中10HarmonyOS NEXT开发进阶(十四):HarmonyOS应用开发者基础认证试题集汇总及答案解析