プロのインターネット中毒者 • ゲーム愛好家 • 技術クリエイター
プロのインターネット中毒者 • ゲーム愛好家 • 技術クリエイター
ブログ ツール プロジェクト ソーシャル Twitch YouTube Discord Squeakyをサポート

TransformerFactory を使用して XSL からの Java メソッド呼び出しを防止する

TransformerFactory を使用して XSL からの Java メソッドの呼び出しを拒否または禁止する方法。
このページは、皆様の便宜を図るため、熱意あふれるAIインターン生が英語から翻訳しました。彼らはまだ学習中なので、多少の誤りがあるかもしれません。正確な情報については、英語版をご覧ください。
ブログ TransformerFactory を使用して XSL からの Java メソッド呼び出しを防止する

このブログ記事は2011年4月に公開されたため、お読みいただいた時期によっては情報が古くなっている可能性があります。情報の正確性を保つため、これらの記事を常に最新の状態に保つことはできませんのでご了承ください。

    When using the Java's TransformerFactory to XSL transform XML documents, the XSL document is allowed to call Java methods by default. This however could be a security issue when dealing with third party XSL documents.
    To disallow calling Java methods from the XSD, set the FEATURE_SECURE_PROCESSING feature on the factory:
    TransformerFactory factory = TransformerFactory.newInstance(); factory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
    This will result in an TransformerException when transforming the documents:
    Error: Use of the extension function 'java:new' is not allowed when the secure processing feature is set to true. Error during transformation javax.xml.transform.TransformerException: java.lang.RuntimeException: Use of the extension function 'java:new' is not allowed when the secure processing feature is set to true.

    Special Agent Squeaky 著。初版 2011-04-23。最終更新 2011-04-23。

    📺 Squeakyの最新動画をチェック!

    ライブ配信にリアルタイム字幕を簡単に追加する方法

    利用規約 ブログ ツール プロジェクト キャッチ・ミー・ライブ Squeakyをサポート ゲーム開発 音楽 Discord Twitter (X) Instagram YouTube Ko-fi Twitch

    このウェブサイトは、プライバシーに配慮し、Cookieを使用しない信頼できる分析ツールであるSimple Analyticsを使用しています。トラッキングなしでウェブサイトの訪問状況を把握するのに役立ちます。