内容简介：

一：XML格式

123456789101112131415161718

 xml声明        DTD定义 定义元素 定义外部实体 定义内部实体 定义参数实体 定义参数实体 % test3; % test4;]>&test;&test2;

参数实体是在DTD中引用，而其余实体在XML中引用；且实体定义中不能引用参数实体
二：XXE漏洞原因
XXE漏洞全称XML External Entity Injection，即XML外部实体注入漏洞。引用程序在解析XML时，如果没有禁止外部实体的加载，理论上可以加载外部文件（操作系统层面的文件），可以造成文件...

查看原文

? xxe原理解析