Заставить DocumentBuilder.parse игнорировать ссылки DTD

Question

Заставить DocumentBuilder.parse игнорировать ссылки DTD

Когда я анализирую мой XML-файл (переменная F) в этом методе, я получаю сообщение об ошибке

C:\Documents and Settings\joe\Desktop\aicpcudev\OnlineModule\map.dtd (система не может найти указанный путь)

Я знаю, что у меня нет dtd, и при этом я не нуждаюсь в этом. Как я могу разобрать этот объект File в объект Document, игнорируя ошибки ссылки DTD?

private static Document getDoc(File f, String docId) throws Exception{
    DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
    DocumentBuilder db = dbf.newDocumentBuilder();
    Document doc = db.parse(f);


    return doc;
}

90

java document dtd

Источник

user5653 30 сен '08 в 21:08

6 ответов

Решение

Попробуйте настроить функции в DocumentBuilderFactory:

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();

dbf.setValidating(false);
dbf.setNamespaceAware(true);
dbf.setFeature("http://xml.org/sax/features/namespaces", false);
dbf.setFeature("http://xml.org/sax/features/validation", false);
dbf.setFeature("http://apache.org/xml/features/nonvalidating/load-dtd-grammar", false);
dbf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

DocumentBuilder db = dbf.newDocumentBuilder();
...

В конечном счете, я думаю, что параметры специфичны для реализации парсера. Вот некоторая документация для Xerces2, если это поможет.

149

Источник

user4362 01 окт '08 в 01:39

Я обнаружил проблему, когда DTD-файл был в jar-файле вместе с XML. Я решил эту проблему на основе приведенных здесь примеров:

DocumentBuilder db = dbf.newDocumentBuilder();
db.setEntityResolver(new EntityResolver() {
    public InputSource resolveEntity(String publicId, String systemId) throws SAXException, IOException {
        if (systemId.contains("doc.dtd")) {
             InputStream dtdStream = MyClass.class
                     .getResourceAsStream("/my/package/doc.dtd");
             return new InputSource(dtdStream);
         } else {
             return null;
         }
      }
});

6

Источник

user729412 28 апр '11 в 13:34

Исходный XML (с DTD)

<!DOCTYPE MYSERVICE SYSTEM "./MYSERVICE.DTD">
<MYACCSERVICE>
   <REQ_PAYLOAD>
      <ACCOUNT>1234567890</ACCOUNT>
      <BRANCH>001</BRANCH>
      <CURRENCY>USD</CURRENCY>
      <TRANS_REFERENCE>201611100000777</TRANS_REFERENCE>
   </REQ_PAYLOAD>
</MYACCSERVICE>

Реализация Java DOM для принятия вышеупомянутого XML как String и удаления объявления DTD

public Document removeDTDFromXML(String payload) throws Exception {

    System.out.println("### Payload received in XMlDTDRemover: " + payload);

    Document doc = null;
    DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
    try {

        dbf.setValidating(false);
        dbf.setNamespaceAware(true);
        dbf.setFeature("http://xml.org/sax/features/namespaces", false);
        dbf.setFeature("http://xml.org/sax/features/validation", false);
        dbf.setFeature("http://apache.org/xml/features/nonvalidating/load-dtd-grammar", false);
        dbf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

        DocumentBuilder db = dbf.newDocumentBuilder();

        InputSource is = new InputSource();
        is.setCharacterStream(new StringReader(payload));
        doc = db.parse(is); 

    } catch (ParserConfigurationException e) {
        System.out.println("Parse Error: " + e.getMessage());
        return null;
    } catch (SAXException e) {
        System.out.println("SAX Error: " + e.getMessage());
        return null;
    } catch (IOException e) {
        System.out.println("IO Error: " + e.getMessage());
        return null;
    }
    return doc;

}

Целевой XML (без DTD)

<MYACCSERVICE>
   <REQ_PAYLOAD>
      <ACCOUNT>1234567890</ACCOUNT>
      <BRANCH>001</BRANCH>
      <CURRENCY>USD</CURRENCY>
      <TRANS_REFERENCE>201611100000777</TRANS_REFERENCE>
   </REQ_PAYLOAD>
</MYACCSERVICE>

5

Источник

user2149956 10 ноя '16 в 14:00

Я знаю, что у меня нет dtd, и при этом я не нуждаюсь в этом.

Я с подозрением отношусь к этому утверждению; Ваш документ содержит какие-либо ссылки на сущности? Если это так, вам обязательно нужно DTD.

В любом случае, обычным способом предотвращения этого является использование каталога XML для определения локального пути для "map.dtd".

2

Источник

user23845 30 сен '08 в 21:13

Вот еще один пользователь, у которого возникла та же проблема: http://forums.sun.com/thread.jspa?threadID=284209&forumID=34

Пользователь ddssot в этом посте говорит

myDocumentBuilder.setEntityResolver(new EntityResolver() {
          public InputSource resolveEntity(java.lang.String publicId, java.lang.String systemId)
                 throws SAXException, java.io.IOException
          {
            if (publicId.equals("--myDTDpublicID--"))
              // this deactivates the open office DTD
              return new InputSource(new ByteArrayInputStream("<?xml version='1.0' encoding='UTF-8'?>".getBytes()));
            else return null;
          }
});

Далее пользователь упоминает: "Как вы можете видеть, когда синтаксический анализатор попадает в DTD, вызывается распознаватель сущностей. Я распознаю мое DTD с его конкретным идентификатором и возвращаю пустой документ XML вместо реального DTD, останавливая всю проверку..."

Надеюсь это поможет.

2

Источник

user11142 30 сен '08 в 22:11

Я работаю с sonarqube, и sonarlint для eclipse показал мне, что ненадежный XML следует анализировать без разрешения внешних данных (squid:S2755)

Мне удалось решить это, используя:

    factory = DocumentBuilderFactory.newInstance();

    factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);

    // If you can't completely disable DTDs, then at least do the following:
    // Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-general-entities
    // Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-general-entities
    // JDK7+ - http://xml.org/sax/features/external-general-entities
    factory.setFeature("http://xml.org/sax/features/external-general-entities", false);

    // Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-parameter-entities
    // Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-parameter-entities
    // JDK7+ - http://xml.org/sax/features/external-parameter-entities
    factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

    // Disable external DTDs as well
    factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

    // and these as well, per Timothy Morgan's 2014 paper: "XML Schema, DTD, and Entity Attacks"
    factory.setXIncludeAware(false);
    factory.setExpandEntityReferences(false);

0

Источник

user2816092 05 фев '20 в 19:04

Другие вопросы по тегам java document dtd

user3295 30 сен '08 в 22:19 2008-09-30 22:19 · Accepted Answer · 2008-09-30 22:19

Подобный подход к предложенному @anjanb

    builder.setEntityResolver(new EntityResolver() {
        @Override
        public InputSource resolveEntity(String publicId, String systemId)
                throws SAXException, IOException {
            if (systemId.contains("foo.dtd")) {
                return new InputSource(new StringReader(""));
            } else {
                return null;
            }
        }
    });

Я обнаружил, что просто возвращение пустого InputSource работает так же хорошо?