Как предотвратить внедрение XML внешнего объекта в TransformerFactory
Моя проблема:
Fortify 4.2.1 помечает код ниже как подверженный атаке внешних объектов XML.
TransformerFactory factory = TransformerFactory.newInstance();
StreamSource xslStream = new StreamSource(inputXSL);
Transformer transformer = factory.newTransformer(xslStream);
Решение, которое я попробовал:
Настройка функции TransformerFactory дляXMLConstants.FEATURE_SECURE_PROCESSING
к истине.
Рассмотрены возможности предоставления большего количества таких функций для TransformerFactory, как мы это делаем для парсеров DOM и SAX. например запрещение объявления типа документа и т. д. Но TransformerFactoryImpl, похоже, не принимает ничего другого, чтоXMLConstants.FEATURE_SECURE_PROCESSING
. Код Impl
Пожалуйста, укажите мне любой ресурс, который, по вашему мнению, я не прошел, или возможное решение этой проблемы.