Servlet : 最近のサーブレット定義ではweb.xmlで外部参照ができなくなっています。

-
Servlet2とかの時代、web.xmlでは外部xml参照が可能であった。
こういう状況 → Google検索「webxml entity

これらは、昨今のセキュリティ事情に合わせて使用不可となっている。(2015年ぐらい以降)
参考 : https://bugzilla.redhat.com/show_bug.cgi?id=1069911

脆弱性としては XXE attack で、外部xmlを任意のファイルで成りすまして悪さをするというもの。
いわゆるDLLハイジャックと同じ考え方。

■ 以前はOKで、最近は読み込めなくなっている具体例

どういうコードがNGかというと、こんなタイプ↓
<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE web-app [
  <!ENTITY test0 SYSTEM "aaa/test0.xml">
  <!ENTITY test1 SYSTEM "aaa/test1.xml">
]>

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
  version="2.4">

  <!-- サーブレット設定 -->
    &test0;
    &test1;

</web-app>

これは、xmlパース時にエラーとなる。
以下、エラーログ↓
org.apache.catalina.startup.ContextConfig parseWebXml
重大: アプリケーションのweb.xmlファイル jndi:/localhost/xxx/WEB-INF/web.xml の解析エラーです
java.io.FileNotFoundException: Could not resolve XML resource [null] with public ID [null], system ID [aaa/test0.xml] and base URI [jndi:/localhost/xxx/WEB-INF/web.xml] to a known, local entity.

■ 対応

読み込めなくなったxmlを何とかする方法。

1 : web-fragments.xml で対応する。

詳細はぜひググってくだされ →「webxml fragment

ただしこの機能は、複数のフレームワークやライブラリ、jarを流用する際の環境定義をお助けするためにある機能で、
当件のように自機能の肥大化解消には利点が少ない。

2 : 分割を諦めてweb.xml内にすべてを展開する。

いろいろ考えると、これが一番ラク。
恐らくこの話で悩むということは、システム更改でこの状況に立ち向かっていると思われる。
分割をいったん諦めるメリット/デメリットは以下。

  • 堅牢性 : 変わらない、もしくは少し向上する。同一ファイルとなるので。
  • 可読性 : 下がる。場合によっては数千行増えたりする。
  • 動作保証 : 新技術導入でないため再テスト等が不要。

■ 補記
対応2によってweb.xmlが凄い行数になるとやりづらいので、アノテーションでinit-paramを書き直して、
web.xml内の記述をなるべく減らして可読性を上げる等はやってもいいかも。

コメント

コメントを投稿

このブログの人気の投稿

windows10 で nvidia のグラボのcode43現象を解決した

-
■そもそもの発端 2018年秋、OS入れ替え(win7→win10)を行ったら、グラボが認識されなくなった。 リンク → GTX560Ti がおかしい(code 43が出る)(2018年)→解決しました(2019) ■原因(ざっくり) nVidiaの専用ドライバはPC内部に存在しているが、nVidiaの専用ドライバよりもWindowsの汎用ドライバが優先的に使用されている。 ■やったこと とりあえずWindowsが優先的に採用してしまっている汎用ドライバを参照しない状況にした。 ■手順 OSのクリーンインストール(必要なら) 既存の全グラフィックドライバの削除(ここから本筋) 再起動 適用したいnVidia専用ドライバのインストール 再起動 Windowsの汎用ドライバになっちゃってるので、ドライバを元に戻す ■手順の詳細説明(一部) 2. 既存の全グラフィックドライバの削除 について 有名なドライバ削除ツール「 DDU 」(Display Driver Uninstaller)というものを使用します。 リンク : 「 DDUダウンロードページ(別窓) 」 使用時はDDUのチェックボックスから以下を指定します。 ・Windowsが自動でドライバをインストールしないように設定(自動インストールを許可しない) 勝手にやられると、今回みたいなことになってしまうので。 6. Windowsの汎用ドライバになっちゃってるので、ドライバを元に戻す について 再起動したら、なぜかWindowsのドライバが適用されており、code 43 の状況になっていました。 一つ前の世代では確実にnVidiaの専用ドライバがインストール+利用されていたので、ドライバの画面から「ドライバを元に戻す」を押下し、nVidiaの専用ドライバに戻します。 ・ドライバ状況(再起動直後) nVidia専用ドライバ Windows汎用ドライバ : ← いまここ ↓ 実行 : ドライバを元に戻す ・ドライバ状況(元に戻す適用後) nVidia専用ドライバ : ← もとに戻した Windows汎用ドライバ 人によっては、Windowsの汎用ドライバを削除したりと、やり方は色々あるようです。 こちらのサイト様の流れがわかりやすく、検証もわかりや
続きを読む

GTX560Ti がおかしい(code 43が出る)(2018年)→解決しました(2019)

-
★後日解決しました リンク → windows10 で nvidia のグラボのcode43現象を解決した ■こんな事が起きたよ どうやら最近(2018年春~)、グラフィックボード GTX560Ti の nVidia 公式ドライバが機能していない様子。 先日HDDが異音と共に開始しない状況になり、 ついでにOSのお掃除的にwindowsをクリーンインストールで入れ直したところ、 画面がおかしな状況となりまして。 ■自分のグラボ情報 メーカー : msi 名称 : N560GTX-TI TWIN FROZR Ⅱ/OC 発売日:2011年 1月28日 url : MSI公式 : N560GTXTi_Twin_Frozr_IIOC ■状況 *画面コピー等を取得しなかったので、ちょっとうろ覚えです。 ディスプレイ設定画面 : 汎用非 PnPモニターとなる。(普通にモニターはある状況なのに) モニター : 解像度が低下する & 選択肢に適切な解像度が出てこない。 マルチディスプレイ : 認識されない。 デバイスマネージャー -> ディスプレイアダプタ : 黄色のワーニング状況になっている。 詳細を確認するとコード43となっている。 ドライバ : 最新状況で、診断しても「最新です」となる。 他 : NVIDIA コントロールパネル などがない or 選んでもエラーとなる。 ■結果と解消方法 自分環境ではとりあえず、2017年12月にリリースされたものをドライバ適用すると解消する。 下記表参照。 現時点で、2018年以降のnVidiaの公式ドライバは全滅の様子。 将来的にちゃんと動くようになるのか、もうずっと2017年のドライバで行くのかは現時点で不明。 windows7と10でそれぞれ試したので、OSの差異ではなく、ドライバの差と考えている。 ■いちおう適応して確認した一覧 nVidia公式ドライバ置き場より OK/NG ドライバ名 バージョン リリース日 NG GeForce Game Ready Driver WHQL 391.35 27.3.2018 NG GeForce Game R
続きを読む

Java : processbuilder 標準出力 タイムアウト

-
( 1つ前の投稿 から続けて) Java(1.8)で外部シェルを実行するというお話、その2。 いったん作成したが、「タイムアウトとかほしいよね」とのことでタイムアウト判定を入れることになった。 単純にタイムアウトだけであれば タイムアウト付きwaitFor() が使えたと思う。 ただ、この関数は標準出力バッファが詰まった時点で、エラー扱いで処理が戻ってきた。 理想のタイムアウトの挙動は以下であった。 タイムアウトになるまではずーっと標準出力を受け取っていてほしい。 タイムアウト時点で、そこまでの標準出力を全部受け取っていて、最後に「と、ここまでやったけど、ここでタイムアウトしました」ぐらいの結果返却。 というわけで、前回の「標準出力バッファを吸い出しながら処理するコード」を元にして、タイムアウト処理を追加する形で実装。 コードは以下。 ちなみに、タイマーに内部クラスを使用しているのは好みです。 当然、System.currentTimeMillis() と if文でも同様のことが出来ますし、ここでは一つの例ということで。 // cmd[] は とりあえずこんな → [0]:ユーザー用コマンド名称、[1]:処理開始日時、[2]:外部実行のシェル名、[3]~ : 引数情報(可変長) private List&ltString&gt cmdExecute(String[] cmd) throws Exception { // タイムアウト用タイマー : 内部クラス class CmdTimer extends TimerTask { private boolean isTimeout = false; private Process p = null; public CmdTimer( Process p ) { this.p = p; } public boolean getIsTimeOut() { return this.isTimeout; } @Override public void run() { this.isTimeout = true; try {
続きを読む