java解决微信支付出现的XML (XXE)安全问题
今天大佬丢给一个关于微信支付的问题,微信推出一条信息
关于XML解析的问题 官方SDK给出(主要是这个来阻止)
对于没有做过微信的我来讲,看到微信代码是一脸懵逼的。经过一番琢磨最终将其解决微信团队,仔细观看微信推送出来的一条消息可以看到解决步骤在此:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 链接中 点进去
会看到APP SDK不受影响,所以APP端的支付就可以排除掉了,然而刷卡支付、公众号支付、扫码支付 就避免不了
往下看 有PHP JAVA .NET PYTHON ... 一系列的操作。
我们不需要管它那么多
得看出来 JAVA 做了一步操作 就是给 文档构建了一个仓库二仓库中又放了一个空间存放set进去的值,大概的优化也知道了一点点吧。
将其解压出。
很明显可以看到不同出,将WXpayXmlUtil加入到你开发工具包中找到
一顿操作猛如虎之后就OK了。