关于dom4j的微信XXE实体注入错误，使用DocumentHelper进行解析的漏洞修补

7月4日微信发来通知说存在XML实体注入漏洞，请修改。

由于自己的后台采取的dom4j的包，而且当时业务也只是对微信传入的xml进行解析处理，所以就直接使用DocumentHelper的parseText的方式进行解析，而没有使用SAXReader的方式进行，在网上搜罗了很多资料，发现处理方式都无法使用。

最后自己在看了dom4j的源代码后，发现DocumentHelper的parseText方法的实现，其实也是SAXReader实现的，再查看SAXReader源码，里面也有一个方式setFeature，于是找到了处理方式

Document doc = null;
    
SAXReader reader = new SAXReader();

try{
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
}


catch (SAXException e) {
// On Apache, this should be thrown when disallowing DOCTYPE
wtbapi.Log.log("A DOCTYPE was passed into the XML document","GJ.java文件错误2");
}

String encoding = getEncoding(str);

InputSource source = new InputSource(new StringReader(str));
source.setEncoding(encoding);

doc = reader.read(source);
if (doc.getXMLEncoding() == null) {
  doc.setXMLEncoding(encoding);

}

其中getEncoding(String)方法是DocumentHelper内部的方式

private static String getEncoding(String text)
  {
String result = null;

String xml = text.trim();
if (xml.startsWith(" {
  int end = xml.indexOf("?>");
  String sub = xml.substring(0, end);
  StringTokenizer tokens = new StringTokenizer(sub, " =\"'");
  while (tokens.hasMoreTokens())
  {
String token = tokens.nextToken();
if ("encoding".equals(token))
{
  if (!tokens.hasMoreTokens()) {
break;
  }
  result = tokens.nextToken(); break;
}
  }
}
return result;

  }

有三个包要引入一下

import org.xml.sax.InputSource;
import org.xml.sax.SAXException;
import java.util.StringTokenizer;