Предложено установить disallow-doctype-decl в true для parserpool в securityContext по умолчанию

Я реализую весенний saml по безопасности, и он отлично работал, но когда команда InfoSec выполняет динамическое сканирование, они обнаружили дыру в безопасности. Этот URL-адрес утверждения saml может быть использован XXE с использованием "XML-бомбы", которая вызывает DoS.

Чтобы решить эту проблему, я собираюсь пройтись по коду и узнать, что opensaml использует StaticBasicParserPool для получения сообщения saml, и, проводя дополнительные исследования, я устанавливаю disallow-doctype-decl, значение true. Поэтому мне предлагается, чтобы мы установили disallow-doctype-decl в значение true по умолчанию в securityContext.xml, чтобы помочь другим, чтобы они не добрались до этой проблемы, как я!

 <bean id="parserPool" class="org.opensaml.xml.parse.StaticBasicParserPool" init-method="initialize">
    <property name="builderFeatures">
        <map>
             <entry key="http://apache.org/xml/features/disallow-doctype-decl" value="true"/>
        </map>
    </property>
</bean>