У меня есть уязвимость XXE в моем коде, неправильное ограничение внешней сущности XML
TransformerFactory tff = TransformerFactory.newInstance();
Transformer tf = tff.newTransformer();
Source sc = message.getSOAPPart().getContent();
StreamResult result = new StreamResult(System.out);
tf.transform(sc, result);
Я добавил следующие две строки кода (парсер XML), чтобы решить эту проблему. Но все равно исправление не работает.
TransformerFactory tff = TransformerFactory.newInstance();
tff.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, ""); //added
tff.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, ""); //added
Transformer tf = tff.newTransformer();
Source sc = message.getSOAPPart().getContent();
StreamResult result = new StreamResult(System.out);
tf.transform(sc, result);
что-то я пропустил? Может кто-нибудь помочь, пожалуйста
