【发布时间】:2017-08-10 09:22:50
【问题描述】:
我目前正在尝试在 Java 中为使用 xml/json 有效负载的 Web 应用程序实现威胁保护机制。
我想知道,有什么方法/库可以检测,
- xml/json 元素的长度
- xml/json 文档的深度
- 属性长度
- 每个元素的属性计数
除此之外,我必须在不解析文档的情况下执行这些操作,因为如果我们解析文档,恶意 xml/json 文档可能会攻击解析器。提前致谢。
【问题讨论】:
-
如果不进行解析,您将无法获得任何这些指标。因此,您实际上正在寻找的是一个施加用户指定限制的解析器。我不认为这样的解析器存在,但当然有你可以修改的开源解析器。
-
@MichaelKay 非常感谢您的见解迈克尔。我会研究一些图书馆。