XML、スキーマおよびXSLT標準では、外部リソースを必要とする次のコンストラクトがサポートされています。JDK XMLプロセッサのデフォルトの動作では、接続を作成し、指定された外部リソースをフェッチします。

• 外部DTD: 外部ドキュメント・タイプ定義(DTD)を参照します。たとえば:

  <!DOCTYPE root_element SYSTEM "url">

• 外部エンティティ参照: 外部データを参照します。次に構文を示します。

  <!ENTITY name SYSTEM "url">

• 一般エンティティ参照。たとえば:

  <?xml version="1.0" standalone="no" ?>
  <!DOCTYPE doc [<!ENTITY otherFile SYSTEM "otherFile.xml">]>
  <doc>
      <a>
          <b>&otherFile;</b>
      </a>
  </doc>

• 外部パラメータ・エンティティ: 次に構文を示します。

  <!ENTITY % name SYSTEM uri>

  次に、例を示します。

  <?xml version="1.0" standalone="no"?>
      <!DOCTYPE doc [
        <!ENTITY % ent1 SYSTEM "http://www.example.com/student.dtd">
        %ent1;
      ]>

• XInclude: XMLドキュメントに外部情報セットを含めます。たとえば:

  <Book xmlns:xi="http://www.w3.org/2001/XInclude">
      <xi:include href=toc.xml"/>
      <xi:include href=part1.xml"/>
      <xi:include href=part2.xml"/>
      <xi:include href=index.xml"/>
  </Book>

• schemaLocation属性とimport要素およびinclude要素を使用してXMLスキーマ・コンポーネントを参照します。たとえば:

  <xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
      <xs:include schemaLocation="http://www.example.com/schema/schema1.xsd"/>
      <!-- ... -->
  </xs:schema>

• importまたはinclude要素を使用したスタイル・シートの結合。次に構文を示します。

  <xsl:include href="include.xsl"/>

• xml-stylesheet処理命令: スタイルシートをXMLドキュメントに含めるために使用します。たとえば:

  <?xml-stylesheet href="include.xsl" type="text/xsl"?>

• XSLT document()関数: 外部XMLドキュメントのノードにアクセスするために使用します。たとえば:

  <xsl:variable name="dummy" select="document('DocumentFunc2.xml')"/>

アプリケーションのコードを変更したり、新しいアプリケーションを作成する場合は、JAXPファクトリまたはパーサーを通じてJAXPプロパティを設定できます。これらのプロパティは、次のインタフェースを使用して設定します。

    DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
    dbf.setAttribute(name, value);
 
    SAXParserFactory spf = SAXParserFactory.newInstance();
    SAXParser parser = spf.newSAXParser();
    parser.setProperty(name, value);

    SchemaFactory schemaFactory = SchemaFactory.newInstance(schemaLanguage);
    schemaFactory.setProperty(name, value);
 
    TransformerFactory factory = TransformerFactory.newInstance();
    factory.setAttribute(name, value);
 
    XMLInputFactory xif = XMLInputFactory.newInstance();
    xif.setProperty(name, value);

    XPathFactory xf = XPathFactory.newInstance();
    xf.setProperty(name, value);

次に、処理制限の設定例を示します。

    dbf.setAttribute("jdk.xml.entityExpansionLimit", "2000");
    dbf.setAttribute("jdk.xml.totalEntitySizeLimit", "100000");
    dbf.setAttribute("jdk.xml.maxParameterEntitySizeLimit", "10000"); 
    dbf.setAttribute("jdk.xml.maxElementDepth", "100");

    factory.setAttribute("jdk.xml.xpathTotalOpLimit", "1000"); 
    xf.setProperty("jdk.xml.xpathExprGrpLimit", "20");  

次に、DOMパーサーを外部DTDのローカル接続のみに制限する例を示します。

    dbf.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "file, jar:file");

アプリケーション内のパーサー・モジュールが信頼できないソースを処理する場合、さらにアクセスを制限できます。次のコードは、JAXP構成ファイルおよびシステム・プロパティによって指定されたコードをオーバーライドし、XMLプロセッサがローカル・ファイルのみを読み取れるようにします:

    DocumentBuilderFactory dbf =
    DocumentBuilderFactory.newInstance();   
    dbf.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "file");
    // ...   
    SchemaFactory schemaFactory = SchemaFactory.newInstance(XMLConstants.W3C_XML_SCHEMA_NS_URI);   
    schemaFactory.setProperty(XMLConstants.ACCESS_EXTERNAL_DTD, "file");   
    schemaFactory.setProperty(XMLConstants.ACCESS_EXTERNAL_SCHEMA, "file");

セキュアなXML処理のためのJAXPの構成で説明されているように、JAXPファクトリを通じて指定されたJAXPプロパティは、スコープが最も狭く、ファクトリによって作成されたプロセッサにのみ影響するため、デフォルト設定、システム・プロパティおよびJAXP構成ファイル内の設定がオーバーライドされます。JAXPファクトリを使用してJAXPプロパティを設定すると、使用しているJDKリリースや、JAXPプロパティを他の手段で設定するかどうかに関係なく、アプリケーションの動作が同じようになります。

システム・プロパティは、アプリケーションのコードを変更できない場合に便利です。

JDKの起動全体に対してJAXPプロパティを設定するには、コマンド行で対応するシステム・プロパティを設定します。たとえば、アプリケーションMyAppで外部DTDおよびスキーマへのアクセスが必要な場合は、システム・プロパティjavax.xml.accessExternalDTDおよびjavax.xml.accessExternalSchemaを次のように設定します:

java -Djavax.xml.accessExternalDTD="file,http" -Djavax.xml.accessExternalSchema="file, http" MyApp

JAXPプロパティをアプリケーションの一部のみに設定するには、対応するシステム・プロパティをその部分の前に設定し、後でクリアします。たとえば、アプリケーションで外部DTDおよびスキーマへのアクセスが必要な場合、これらの行をアプリケーションの初期化コード・ブロックに追加します。

    System.setProperty("javax.xml.accessExternalDTD", "file, http");
    System.setProperty("javax.xml.accessExternalSchema", "file, http");

その後、アプリケーションでXMLドキュメントの処理を実行した後、またはアプリケーションを終了する前に、次のようにプロパティをクリアします。

    System.clearProperty("javax.xml.accessExternalDTD");   
    System.clearProperty("javax.xml.accessExternalSchema");

JAXPプロパティは、JAXP構成ファイル(java.util.Propertiesファイル)で設定できます。(Javaプロパティの詳細は、Javaチュートリアルのプロパティの説明を参照してください。)

jdk.xml.maxGeneralEntitySizeLimit=2000
javax.xml.accessExternalStylesheet=file, http

javax.xml.accessExternalDTD=file
javax.xml.accessExternalSchema=file
javax.xml.accessExternalStylesheet=file

javax.xml.accessExternalDTD=""   
javax.xml.accessExternalSchema=""   
javax.xml.accessExternalStylesheet=""

XML処理は、メモリー集中型の操作である場合があります。信頼できないソースからのXML、XSDおよびXSLを受け入れるアプリケーションでは特に、処理制限用のJAXPプロパティを使用して、過剰なメモリー消費を回避するステップをとる必要があります。

アプリケーションの要件およびオペレーティング環境を評価して、システム構成の許容可能な処理制限を判断し、それに応じてこれらの制限を設定します。たとえば、サイズ関連の制限を使用して、不適切なXMLソースによる大量のメモリー消費を防止します。アプリケーションでメモリー消費を許容レベルに制御できるようにするには、jdk.xml.entityExpansionLimitプロパティを使用します。

JDK XMLパーサーは、デフォルトで処理制限を監視します。DOMおよびSAXパーサーでは、セキュア処理機能(FSP)がデフォルトでオンになっているため、制限がオンになります。また、StAXパーサーは、FSPをサポートしていなくても、デフォルトで処理制限を遵守します。

次の表に、JDKでサポートされる処理制限用のJAXPプロパティを示します。これらの各処理制限の値は正の整数です。0以下の値は、制限がないことを示します。値が整数でない場合は、NumericFormatExceptionがスローされます。これらのプロパティの値は、ファクトリを通じて、システム・プロパティとして、またはJAXP構成ファイルで指定できます。

詳細は、java.xmlモジュールのサマリーにある実装固有のプロパティの表を参照してください。

外部アクセス制限用のJAXPプロパティを対応するシステム・プロパティとともに使用すると、外部接続を規制できます。

外部アクセス制限を使用すると、許可できるまたは許可できない外部接続のタイプを指定できます。プロパティ値は、プロトコルのリストです。JAXPプロセッサは、プロトコルをリスト内のプロトコルと照合することによって、特定の外部接続が許可されているかどうかをチェックします。プロセッサは、リスト上にある場合は接続を確立しようとし、そうでない場合は拒否しようとします。これらのJAXPプロパティをカスタム・リゾルバおよびカタログAPIとともに使用して(「リゾルバおよびカタログの使用」を参照)、ローカル・リソースを拒否および解決することにより、外部接続のリスクを軽減します。

外部アクセス制限JAXPプロパティは、javax.xml.XMLConstantsで次のように定義されます。

• javax.xml.XMLConstants.ACCESS_EXTERNAL_DTD
• javax.xml.XMLConstants.ACCESS_EXTERNAL_SCHEMA
• javax.xml.XMLConstants.ACCESS_EXTERNAL_STYLESHEET

これらのプロパティの値は、システム・プロパティとして、またはJAXP構成ファイルで指定できます。

TransformerおよびXPathに対してはセキュア処理機能(FSP)がデフォルトでオフになるため、拡張機能を使用できます。信頼できないソースからのドキュメントを処理するアプリケーションでは、拡張関数機能をオフにすることをお薦めします。これを行うには、次の2つの方法があります。

• FSPをtrueに設定します。たとえば:

      TransformerFactory tf = TransformerFactory.newInstance();          
      tf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);

• TransformerFactoryまたはXPathFactoryを通じて、システム・プロパティとして、またはJAXP構成ファイルで、jdk.xml.enableExtensionFunctionsプロパティをfalseに設定します。

Javaセキュリティ・マネージャをインストールした結果として拡張関数が無効になっている場合、アプリケーションでは、jdk.xml.enableExtensionFunctionsプロパティをtrueに設定して拡張関数機能を再度有効にすることもできます。次の表で、このプロパティを定義します。

JDKでは、クラスパスにサードパーティ製のパーサーが存在する場合でも、常にシステムデフォルト・パーサーが使用されます。JDKのシステムデフォルト・パーサーをオーバーライドするには、TransformerFactory、SchemaFactoryまたはXPathFactoryを通じて、システム・プロパティとして、またはJAXP構成ファイルで、jdk.xml.overrideDefaultParserプロパティをtrueに設定します。

アプリケーションでDTDが必要ない場合は、DTD処理を無効化して、サービス拒否、XML外部エンティティ(XXE)、サーバー側リクエストの偽造(SSRF)など、多くの一般的なDTD関連の攻撃に対抗することを検討してください。

    final static String DISALLOW_DTD =
        "http://apache.org/xml/features/disallow-doctype-decl";
    // ...
    SAXParserFactory spf = SAXParserFactory.newInstance();      
    spf.setFeature(DISALLOW_DTD, true);

    XMLInputFactory xif = XMLInputFactory.newInstance();
    xif.setProperty(XMLInputFactory.SUPPORT_DTD, Boolean.FALSE);

Java XML APIでは、JDK XMLプロセッサに登録して外部リソースを解決できる様々なリゾルバがサポートされます。これらのリゾルバには、SAXおよびDOMパーサー用のエンティティ・リゾルバ、StAXパーサー用のXMLリゾルバ、検証用のLSResourceResolverおよび変換用のURIResolverが含まれます。

XML Catalog APIでは、Organization for the Advancement of Structured Information Standards (OASIS) XMLカタログ、OASIS標準V1.1がサポートされます。このAPIは、JDK XMLプロセッサによって完全に実装されており、使用が簡単です。『Java Platform, Standard Editionコア・ライブラリ』の「XMLカタログAPI」を参照してください。

XMLカタログAPIを使用して、外部リソースをCatalogResolverインタフェースで解決し、JDK XMLプロセッサ上でカタログを有効化します。