从这个网页截图中,我们可以获取到以下关于漏洞的关键信息: 1. 问题描述: - 问题标题: - 问题描述: 。 2. 代码示例: - 代码片段显示了TransformerFactory的使用,具体代码行号为146-147。 - 代码片段如下: 3. 安全风险: - 问题描述指出,TransformerFactory的使用存在XSS(Cross-Site Scripting)攻击的风险。 - 使用的Saxon-HE版本(9.8)不支持XMLConstants.ACCESS_EXTERNAL_DTD或XMLConstants.ACCESS_EXTERNAL_SCHEMA,导致了安全漏洞。 4. 解决方案: - 建议升级到Saxon-HE的最新版本(9.8 -> 12)。 - 建议使用newDefaultInstance()代替newInstance(),以使用JDK的Xalan而不是Saxon。 - 建议使用一个配置XML工厂的工具类,而不是在每次使用时重新配置它们。 5. 开发进展: - 问题状态为已关闭(Closed)。 - 已经有一个PR(Pull Request)被合并,编号为#1717。 - 问题描述中提到,合并PR后可以关闭此问题。 6. 参与人员: - 问题由 创建, 和 参与讨论和解决。 7. 标签: - 标签包括 。 通过这些信息,我们可以了解到这个问题涉及到XML解析器的安全性问题,特别是XSS攻击的风险,以及如何通过升级和使用特定的工具类来解决这个问题。