CWE ID 611：Improper Restriction of XML External Entity Reference_improper restriction of xxe ref

问题描述
XXE漏洞（XML eXternal Entities），对XML外部实体引用的不当限制。

XML文档可选地包含文档类型定义 (DTD)，除其他功能外，它还支持XML实体的定义，可以通过以URI的形式替换字符串来定义实体，XML解析器可以访问此URI的内容并将这些内容嵌入回XML文档中以供进一步处理。但当URI解析为预期控制范围之外的文档，会导致程序将不正确的文档嵌入到其输出中。

程序通过使用 file:// URI 定义外部实体的XML文件，攻击者就可以修改URI来获取本地文件内容，例如，“file:///c:/winnt/win.ini”之类的 URI 指定（在 Windows中）文件 C:\Winnt\win.ini，或 file:///etc/passwd 指定密码基于Unix的系统中的文件。攻击者使用带有 http:// 等其他方案的 URI 可以强制应用程序向攻击者无法直接访问的服务器发出传出请求，这可用于绕过防火墙限制或隐藏端口扫描等攻击源。一旦读取了URI的内容，就会将其反馈到处理XML的应用程序中。该应用程序可以回显数据（例如：在错误消息中），从而暴露文件内容。

Bad Code

public T unmarshal(Class<T> clazz, InputStream is) throws