我有如下上午XML代码限制在XML文件中的实体标签:如何使用XSD
<request><param name=\"client-id\" value=\"organization\"/><param name=\"client-org-id\" value=\"3042d80e24cd4cc31eb9ef48e7012\"/><param name=\"user-agent\" value=\"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0\"/><param name=\"client-browser\" value=\"Firefox 48\"/><param name=\"domain-id\" value=\"layout\"/><param name=\"view-id\" value=\"1\"/><param name=\"view-token\" value=\"layout|get-workspace|\"/><param name=\"view-action\" value=\"private.layout:get-workspace\"/><param name=\"view-parent-id\" value=\"\"/><param name=\"view-parent-token\" value=\"\"/><param name=\"view-parent-action\" value=\"\"/></request>
,在这里我得到上面的XML作为字符串,我使用XOM解析器解析XML。现在我的问题是我的应用程序通过安全扫描了和参数,通过它我得到的XML字符串如下注入外部XML:
<?xml version=\"1.0\" encoding=\"utf-8\"?><!DOCTYPE acunetix [><!ENTITY acunetixent SYSTEM \"http://hitrlWBrzWDQ0.bxss.me/\">]><xxx>&acunetixent;</xxx>
所以我想,以防止外部实体。对我来说最好的解决方案是什么?或者在使用xsd解析XML时避免xml中的ENTITY标签的任何解决方案。提前致谢。
感谢您提供此信息。请为这种情况建议一些解决方案。 –