安全的Map轉XML方法

背景

前兩天微信爆出了漏洞（XXE漏洞），經過該漏洞，攻擊者能夠獲取服務器中目錄結構、文件內容，如代碼、各類私鑰等。獲取這些信息之後，攻擊者即可覺得所欲爲，其中就包括衆多媒體所宣傳的「0元也能買買買」。 前兩天微信爆出了漏洞（XXE漏洞），，經過該漏洞，攻擊者能夠獲取服務器中目錄結構、文件內容，如代碼、各類私鑰等。獲取這些信息之後，攻擊者即可覺得所欲爲，其中就包括衆多媒體所宣傳的「0元也能買買買」。

緣由

這次曝出的漏洞屬於XXE漏洞，即XML外部實體注入（XML External Entity Injection）。XML文檔處理能夠包含聲明和元素之外，還能夠包含文檔類型定義（即DTD）;在DTD中，能夠引進實體，在解析XML時，實體將會被替換成相應的引用內容。該實體能夠由外部引入(支持http、ftp等協議，後文以http爲例說明)，若是經過該外部實體進行攻擊，就是XXE攻擊。 能夠說，XXE漏洞之因此可以存在，本質上在於在解析XML的時候，能夠與外部進行通訊；當XML文檔能夠由攻擊者任意構造時，攻擊便成爲可能。在利用XXE漏洞能夠作的事情當中，最多見最容易實現的，即是讀取服務器的信息，包括目錄結構、文件內容等；本次微信支付爆出的漏洞便屬於這一種。

解決方案

禁止解析XML時訪問外部實體便可

代碼實現

package com.koolyun.eas.account.util;

import org.w3c.dom.Document;

import javax.xml.XMLConstants;
import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.ParserConfigurationException;
import javax.xml.transform.OutputKeys;
import javax.xml.transform.Transformer;
import javax.xml.transform.TransformerFactory;
import javax.xml.transform.dom.DOMSource;
import javax.xml.transform.stream.StreamResult;
import java.io.StringWriter;
import java.util.Map;

public class XmlUtil {
    /**
     * 將Map轉換爲XML格式的字符串
     *
     * @param data Map類型數據
     * @return XML格式的字符串
     * @throws Exception
     */
    public static String mapToXml(Map<String, String> data) throws Exception {
        org.w3c.dom.Document document = newDocument();
        org.w3c.dom.Element root = document.createElement("xml");
        document.appendChild(root);
        for (String key: data.keySet()) {
            String value = data.get(key);
            if (value == null) {
                value = "";
            }
            value = value.trim();
            org.w3c.dom.Element filed = document.createElement(key);
            filed.appendChild(document.createTextNode(value));
            root.appendChild(filed);
        }
        TransformerFactory tf = TransformerFactory.newInstance();
        Transformer transformer = tf.newTransformer();
        DOMSource source = new DOMSource(document);
        transformer.setOutputProperty(OutputKeys.ENCODING, "UTF-8");
        transformer.setOutputProperty(OutputKeys.INDENT, "yes");
        StringWriter writer = new StringWriter();
        StreamResult result = new StreamResult(writer);
        transformer.transform(source, result);
        String output = writer.getBuffer().toString(); //.replaceAll("\n|\r", "");
        try {
            writer.close();
        }
        catch (Exception ex) {
        }
        return output;
    }

    public static DocumentBuilder newDocumentBuilder() throws ParserConfigurationException {
        DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
        documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        documentBuilderFactory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
        documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
        documentBuilderFactory.setXIncludeAware(false);
        documentBuilderFactory.setExpandEntityReferences(false);

        return documentBuilderFactory.newDocumentBuilder();
    }

    public static Document newDocument() throws ParserConfigurationException {
        return newDocumentBuilder().newDocument();
    }

}