设置DocumentBuilderFactory和SAXParserFactory的feature禁用DTD验证与外部实体加载,可避免XML解析时因网络问题导致的超时并防范XXE安全风险,建议根据需求选择是否完全禁止DOCTYPE声明。
在使用Java解析XML文档时,如果XML文件包含DTD(Document Type Definition),解析器默认会尝试加载并验证DTD。当网络不可访问或DTD文件无法获取时,容易导致解析失败或超时。为避免此类问题,可以通过设置解析器忽略DTD验证。
使用DocumentBuilderFactory忽略DTD
在基于DOM的XML解析中,可通过配置DocumentBuilderFactory来禁用DTD验证和外部实体加载:
- 设置setValidating(false):关闭文档验证,不执行DTD校验
- 设置setFeature禁用外部实体和DTD声明
示例代码:
DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();factory.setValidating(false);
factory.setNamespaceAware(true);
// 忽略外部DTD和实体
try {
factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", false);
} catch (ParserConfigurationException e) {
// 处理不支持feature的情况
}
DocumentBuilder builder = factory.newDocumentBuilder();
Document
doc = builder.parse(new InputSource(new StringReader(xmlString)));
使用SAXParser忽略DTD验证
若使用SAX方式解析,也可通过类似方式关闭DTD相关功能:
SAXParserFactory spf = SAXParserFactory.newInstance();spf.setValidating(false);
SAXParser saxParser = spf.newSAXParser();
try {
saxParser.getXMLReader().setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
saxParser.getXMLReader().setFeature("http://xml.org/sax/features/external-general-entities", false);
} catch (SAXException e) {
// feature不支持时忽略
}
saxParser.parse(inputStream, handler);
处理DOCTYPE声明的安全风险
除了性能问题,DTD还可能带来XXE(XML External Entity)安全漏洞。即使你不关心验证,也建议彻底禁用DOCTYPE声明以提升安全性:
- 启用disallow-doctype-decl可完全禁止DOCTYPE
- 适用于不需要DOCTYPE的场景,如解析纯数据XML
例如:
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);若需保留DOCTYPE但不加载外部资源,保持该选项为false,仅关闭外部实体加载即可。
基本上就这些设置能有效让Java解析XML时跳过DTD验证和网络请求,提升解析稳定性和安全性。根据实际需求选择是否完全禁止DOCTYPE。
