7-18
约 129 字小于 1 分钟
2025-11-02
XXE 防御方法
通用防御思路
- 禁用外部实体(External Entities):这是最根本的防御措施。确保你的 XML 解析器不会去解析
<!DOCTYPE>中定义的外部实体 - 禁用 DTD(Document Type Definition):如果业务逻辑不需要 DTD,直接禁用它能彻底解决 XXE 问题
- 使用最新版本的解析库:新的 XML 解析库通常会默认禁用 XXE 相关功能,或提供更安全的配置选项
约 129 字小于 1 分钟
2025-11-02
通用防御思路
<!DOCTYPE> 中定义的外部实体