Клиент веб-службы CXF: "Невозможно создать безопасную XMLInputFactory"

Question

Клиент веб-службы CXF: "Невозможно создать безопасную XMLInputFactory"

Я написал и развернул веб-сервис CXF на сервере Tomcat, используя приведенные здесь инструкции. Веб-служба разворачивается нормально, поскольку я вижу файл WSDL в веб-браузере.

Моя отдельная клиентская программа на Java не работает. Вот код:

System.out.println("Creating client");
Properties properties = System.getProperties();
properties.put("org.apache.cxf.stax.allowInsecureParser", "1");
System.setProperties(properties);
JaxWsProxyFactoryBean factory = new JaxWsProxyFactoryBean();
factory.setServiceClass(ExampleWebService.class);
factory.setAddress("http://X.X.X.X:9090/WebServices/ExampleWebService");
ExampleWebService exampleWebService = (ExampleWebService)factory.create();
System.out.println("Done creating client");
exampleWebService.method1("test");
System.out.println("After calling method1");

Я скопировал все файлы jar (включая файл woodstox-core-asl-4.2.0.jar) из дистрибутива CXF 2.7.7 в путь к классу клиентской программы, и при запуске клиента я получаю следующее исключение:

Creating client
Nov 20, 2013 8:05:26 PM org.apache.cxf.service.factory.ReflectionServiceFactoryBean buildServiceFromClass
INFO: Creating Service {http://webservices.server/}ExampleWebServiceService from class server.webservices.ExampleWebService
Done creating client
javax.xml.ws.soap.SOAPFaultException: Cannot create a secure XMLInputFactory
    at org.apache.cxf.jaxws.JaxWsClientProxy.invoke(JaxWsClientProxy.java:157)
    at $Proxy38.printString(Unknown Source)
    at ExampleNmsWebServiceClient.printString(ExampleNmsWebServiceClient.java:29)
    at ExampleNmsWebServiceClient.main(ExampleNmsWebServiceClient.java:40)
Caused by: org.apache.cxf.binding.soap.SoapFault: Cannot create a secure XMLInputFactory
    at org.apache.cxf.binding.soap.interceptor.Soap11FaultInInterceptor.unmarshalFault(Soap11FaultInInterceptor.java:84)
    at org.apache.cxf.binding.soap.interceptor.Soap11FaultInInterceptor.handleMessage(Soap11FaultInInterceptor.java:51)
    at org.apache.cxf.binding.soap.interceptor.Soap11FaultInInterceptor.handleMessage(Soap11FaultInInterceptor.java:40)
    at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:272)
    at org.apache.cxf.interceptor.AbstractFaultChainInitiatorObserver.onMessage(AbstractFaultChainInitiatorObserver.java:113)
    at org.apache.cxf.binding.soap.interceptor.CheckFaultInterceptor.handleMessage(CheckFaultInterceptor.java:69)
    at org.apache.cxf.binding.soap.interceptor.CheckFaultInterceptor.handleMessage(CheckFaultInterceptor.java:34)
    at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:272)
    at org.apache.cxf.endpoint.ClientImpl.onMessage(ClientImpl.java:835)
    at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponseInternal(HTTPConduit.java:1606)
    at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponse(HTTPConduit.java:1502)
    at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1309)
    at org.apache.cxf.transport.AbstractConduit.close(AbstractConduit.java:56)
    at org.apache.cxf.transport.http.HTTPConduit.close(HTTPConduit.java:627)
    at org.apache.cxf.interceptor.MessageSenderInterceptor$MessageSenderEndingInterceptor.handleMessage(MessageSenderInterceptor.java:62)
    at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:272)
    at org.apache.cxf.endpoint.ClientImpl.doInvoke(ClientImpl.java:565)
    at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:474)
    at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:377)
    at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:330)
    at org.apache.cxf.frontend.ClientProxy.invokeSync(ClientProxy.java:96)
    at org.apache.cxf.jaxws.JaxWsClientProxy.invoke(JaxWsClientProxy.java:135)
    ... 3 more

Я обнаружил, что страницу с надписью "Невозможно создать безопасную XMLInputFactory" можно исправить, установив для свойства org.apache.cxf.stax.allowInsecureParser значение "1", поэтому я попытался установить его в свойствах системы, но это не помогло. не работает Я также попытался добавить -Dorg.apache.cxf.stax.allowInsecureParser=1 к команде java, которая запускает клиент, но это тоже не сработало. (И при этом не устанавливали это в "истину" вместо 1.) Есть какие-нибудь идеи о том, как решить эту ошибку?

28

web-services cxf woodstox

Источник

user782011 21 ноя '13 в 07:30

16 ответов

Другие вопросы по тегам web-services cxf woodstox

user1247753 07 июл '14 в 04:38 2014-07-07 04:38 · Answer 1 · 2014-07-07 04:38

Возникла эта проблема при обновлении с CXF 2.3.x до 2.7.x

Добавлены jar stax2-api и woodstox-core-asl из дистрибутива 2.7.x CXF, и веб-сервис снова работает.

28

Источник

user1247753 07 июл '14 в 04:38

user3817953 28 янв '15 в 11:18 2015-01-28 11:18 · Answer 2 · 2015-01-28 11:18

Начиная с версии 2.7.4, CXF добавил функцию, чтобы гарантировать, что XMLInputFactory защищен и загружен из woodstox (>= пакеты 4.2.x, см. Реализацию StaxUtil), чтобы справиться с уязвимостью отказа в обслуживании.

Но дело в том, что в среде J2EE по умолчанию webservices-rt.jar имеет приоритет перед военными либами (а затем над деревянным флягой). Вот почему небезопасная реализация загружается, вызывая исключение.

Отключение свойства org.apache.cxf.stax.allowInsecureParser не является вариантом, поскольку оно возвращает уязвимость DOS.

Чтобы сделать загрузчик класса предпочтительным woodstox (ухо / война) закончилось webservices-rt.jar (j2ee lib), решение зависит от вашего сервера приложений и описано в руководстве по настройке сервера приложений CXF.

user2985467 30 окт '14 в 22:38 2014-10-30 22:38 · Answer 3 · 2014-10-30 22:38

У меня была похожая проблема

После добавления этого -Dorg.apache.cxf.stax.allowInsecureParser=1 к JAVA_OPTIONS в setDomainEnv.shСейчас он работает нормально.

20

Источник

user2985467 30 окт '14 в 22:38

user3270608 22 апр '14 в 17:34 2014-04-22 17:34 · Answer 4 · 2014-04-22 17:34

У меня была эта проблема на weblogic и я исправил проблему, добавив ее в мой weblogic-application.xml

<prefer-application-packages>
       <package-name>com.ctc.wstx.*</package-name>
</prefer-application-packages>

13

Источник

user3270608 22 апр '14 в 17:34

user36611 21 ноя '13 в 14:34 2013-11-21 14:34 · Answer 5 · 2013-11-21 14:34

Проверьте наличие любых других версий woodstox, которые можно найти на пути к классам или в lib/ одобренном jre или аналогичном. Похоже, что старая версия 4.1 может быть поднята.

10

Источник

user36611 21 ноя '13 в 14:34

user2894179 01 фев '16 в 10:49 2016-02-01 10:49 · Answer 6 · 2016-02-01 10:49

У меня была такая же проблема, когда я обновил CXF до 2.7.x. Я решил это, добавив следующие зависимости в POM

<dependency>
    <groupId>org.codehaus.woodstox</groupId>
    <artifactId>stax2-api</artifactId>
    <version>4.0.0</version>
</dependency>
<dependency>
    <groupId>org.codehaus.woodstox</groupId>
    <artifactId>woodstox-core-asl</artifactId>
    <version>4.4.1</version>
</dependency>

5

Источник

user2894179 01 фев '16 в 10:49

user592539 10 окт '15 в 18:44 2015-10-10 18:44 · Answer 7 · 2015-10-10 18:44

Здесь не было ответа, который описывает основную причину этого сообщения об ошибке для моей проблемы. У нас были транзитивные зависимости как для новой версии woodstox-core-asl-4.2.0.jar, так и для старой wstx-asl-3.2.1.jar.

Исключая старую версию из нашей сборки сделали свое дело.

Если вы покопаетесь в недрах старой версии, вы обнаружите, что она терпит неудачу, за исключением того, что в результате оборачивается другим исключением с этим общим сообщением, которое не очень информативно.

user3016744 18 дек '14 в 08:20 2014-12-18 08:20 · Answer 8 · 2014-12-18 08:20

Если вы обновляетесь до 3.0.0 или новее, вы не должны добавлять зависимости woodstock

2

Источник

user3016744 18 дек '14 в 08:20

user797707 17 мар '14 в 14:19 2014-03-17 14:19 · Answer 9 · 2014-03-17 14:19

Я столкнулся с этой проблемой, и это потому, что когда я обновил более старую версию cxf, я не изменил stax-api-*. Jar на stax2-api-*. Jar в моем клиентском classpath.

2

Источник

user797707 17 мар '14 в 14:19

user5909830 18 июн '20 в 16:18 2020-06-18 16:18 · Answer 10 · 2020-06-18 16:18

Интересно, что у меня была эта проблема в контейнере докеров, а не при запуске на сервере Tomcat.

Проблема, с которой я столкнулся, заключалась в том, что в проекте была другая более низкая версия wstx-asl-3.2.7, и загрузчик классов, вероятно, мог сначала загрузить эту версию. Я избавился от него, рассмотрели необходимый столяр и проблему решили.

user4198552 30 окт '14 в 13:16 2014-10-30 13:16 · Answer 11 · 2014-10-30 13:16

В моем случае было две банки (Cxf 3.0.1, Jboss 7.1.1)

javax.xml.stream:stax-api:jar:1.0-2:compile

org.codehaus.woodstox: stax2-апи: баночка:3.1.4: составить

Я удалил 1-й, и он начал работать

0

Источник

user4198552 30 окт '14 в 13:16

user5445733 28 окт '15 в 21:18 2015-10-28 21:18 · Answer 12 · 2015-10-28 21:18

Я могу решить эту проблему, добавив weblogic.xml в папку WEB-INF моего приложения со следующим кодом:

<prefer-web-inf-classes>false</prefer-web-inf-classes>

<prefer-application-packages>
    <package-name>com.ctc.*</package-name>
</prefer-application-packages>

0

Источник

user5445733 28 окт '15 в 21:18

user782011 22 ноя '13 в 02:44 2013-11-22 02:44 · Answer 13 · 2013-11-22 02:44

Проблема заключалась в том, что в развертывании веб-службы на сервере отсутствовали файлы JAR CXF. Это было трудно отладить, потому что на сервере не было ошибок.

0

Источник

user782011 22 ноя '13 в 02:44

user4757614 07 апр '15 в 07:21 2015-04-07 07:21 · Answer 14 · 2015-04-07 07:21

У меня была эта проблема на weblogic, Приложение успешно развернуто, но когда я запустил запрос мыла, я получил эту ошибку: Невозможно создать безопасную XMLInputFactory.

исправил проблему, добавив этот пакет в weblogic-application.xml

com.ctc.wstx. *

0

Источник

user4757614 07 апр '15 в 07:21

user3746519 20 мар '15 в 00:07 2015-03-20 00:07 · Answer 15 · 2015-03-20 00:07

С моей стороны мне нужно было как удалить stax-api-1.0-2.jar (оставляя jar stax2-api-3.1.4.jar & woodstock 4.4), так и указать в конце файл weblogic-application.xml:

     .
     .
     <package-name>com.ctc.wstx.*</package-name>  
     <package-name>org.codehaus.stax2.*</package-name>
 </prefer-application-packages>

0

Источник

user3746519 20 мар '15 в 00:07

user1993731 23 июн '15 в 14:48 2015-06-23 14:48 · Answer 16 · 2015-06-23 14:48

Я просмотрел свои зависимости, чтобы найти конфликт версий с woodstox или stax-api.

Оказывается, что axis2-transport-http ввел эти конфликты.

Если у вас также есть эта зависимость, добавьте следующее исключение к вашей зависимости pom, которая ее представила

<exclusions>
            <exclusion>
                <groupId>org.apache.axis2</groupId>
                <artifactId>axis2-transport-http</artifactId>
            </exclusion>
        </exclusions>

user7240679 02 дек '16 в 10:19 2016-12-02 10:19 · Answer 17 · 2016-12-02 10:19

1: -Dorg.apache.cxf.stax.allowInsecureParser=1 для JAVA_OPTIONS
или же
2: переименовать woodstox-core-asl-4.4.1.jar -> awoodstox-core-asl-4.4.1.jar

-1

Источник

user7240679 02 дек '16 в 10:19