Я знаю, что мы можем предотвратить атаку XXE, установив для свойства IS_SUPPORTING_EXTERNAL_ENTITIES в абстрактном классе XMLInputFactory значение false в JAXB.
Я также видел этот ответ на stackoverflow.
Вот мой вопрос,
Как создать экземпляр XMLInputFactory и установить для этого свойства IS_SUPPORTING_EXTERNAL_ENTITIES значение false при загрузке приложения Spring. И этот конкретный экземпляр XMLInputFactory должен использоваться только для всего преобразования JAXB для всех классов, которые используют пакет javax.xml.bind.annotation.