0
제 질문은 Google의 XML 파서 : com.google.gwt.xml.client.XMLParser에 관한 것입니다. 외부 doctype이나 doctype을 전혀 허용하지 않도록 구성 할 수 있습니까?doctype을 허용하지 않도록 com.google.gwt.xml.client.XMLParser를 구성 할 수 있습니까?
내가 SAXParser를가 setFeature와 그 옵션이 알고있는 것처럼 ("http://apache.org/xml/features/disallow-doctype-decl", true)를
는 GWT 파서에서 그런 일이 있습니까? API를 어디에서 찾을 수 있습니까? 도움을 주시면 감사하겠습니다.
덕분에, 탈
답변 :
GWT가에 javscript하는 자바 코드를 번역, 그래서 코드는 마지막으로 클라이언트 측에서 실행합니다. GWT는 브라우저를 사용하여 XML을 구문 분석합니다. 웹에서 javadocs가이 기능을 갖고있는 것처럼 보이지 않으며이 파서는 SAX가없고 외부 DTD가없고 XPath도없고 매우 간단한 DOM 도구이므로 외부 엔티티 문제가 발생하지 않는다.
여기에 JavaDoc가 있습니다 (http://google-web-toolkit.googlecode.com/svn/javadoc/1.5/com/google/gwt/xml/client/XMLParser.html). 기능이없는 것 같습니다. 너는 끝이야. 아마도 구문 분석 후에 doctype의 존재를 확인하는 사용자 정의 검사만으로 충분할 수 있습니까? – erikxiv
보안 관점에서 볼 때 너무 늦은 것 같습니다. 파싱이 이미 발생하면 해킹이 포함 된 외부 사이트에 이미 액세스 할 수 있기 때문입니다. – Tal