Estoy probando el servicio web con el mensaje que contiene la bomba XML en la declaración DOCTYPE.
El ataque no es posible porque el servicio web devuelve el mensaje:
<faultstring>The parser has encountered more than "64000" entity expansions in this document; this is the limit imposed by the JDK.</faultstring>
¿Es este un comportamiento correcto o deberían descartarse todos los mensajes que contienen la etiqueta DTD? ¿Debo ver un mensaje de error tan detallado?