随笔分类 - XML语言
XXE注入攻击与防御
摘要:0x00 前言XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题.在XML1.0标准⾥里,XML文档结构⾥里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,...
阅读全文
CDATA
摘要:1DTD中的属性类型全名:character data在标记CDATA下,所有的标记、实体引用都被忽略,而被XML处理程序一视同仁地当做字符数据看待,CDATA的形式如下:CDATA的文本内容中不能出现字符串“]]>”,另外,CDATA不能嵌套。DTD实例:指定类型为CDATA以后就可以在XML中被...
阅读全文
