内容简介：

前言
近期准备面试题时，XXE漏洞防范措施（或者说修复方式）在一些文章中比较简略，
故本文根据研究进行总结，作为技术漫谈罢了。
简述
XXE漏洞
XXE（XML外部实体注入），程序解析XML数据时候，同时解析了攻击者伪造的外部实体。XML用途是为了跨平台语言传输数据。常常用于WEB开发等
XXE漏洞攻防情况
通常来说，XML文档生成时会常用到XXE和内部实体。因此开发团队根据项目需求去进行防范XXE漏洞。
然而实际情况是，即使采取了防范措施（错误的方法），XXE漏洞仍然可以大行其道。
有一个案例，某开发团队针对CVE-2018-20318漏洞进行了及时的修复，依照的是官方的修复方案：
禁止实体...

查看原文

👉 禁用XXE处理漫谈