推荐一个安全的Python XML处理库:DefusedXML

于 2024-04-27 09:52:24 发布
阅读量391 收藏 5
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00026/article/details/138241871
版权

推荐一个安全的Python XML处理库:DefusedXML

项目地址:https://gitcode.com/tiran/defusedxml

项目简介

DefusedXML是一个由Tiran Har Ethi开发的Python库,主要目标是提供更安全的XML解析功能。该项目是对标准Python XML库的一个补丁集合,旨在预防常见的XML注入攻击,如XXE(XML External Entity)和DTD(Document Type Definition)注入等。通过使用DefusedXML,开发者可以在处理XML数据时得到额外的安全保障。

技术分析

DefusedXML采用了以下策略来增强XML处理的安全性:

  1. 禁用外部实体 - 默认情况下,DefusedXML会禁用所有外部实体引用,这可以防止XXE攻击,因为外部实体通常用于读取或操纵服务器上的文件。

  2. 限制DTD处理 - DTD注入是一种常见的安全漏洞,DefusedXML通过严格控制DTD加载,阻止了可能的恶意行为。

  3. 安全的默认行为 - 对于其他可能存在的安全隐患,如Base64解码、网络请求等,DefusedXML都设置了更为保守的默认行为。

  4. 与原生库兼容 - DefusedXML设计为可直接替换标准库中的xml.etree.ElementTree, lxml.etree, minidom等模块,无需修改原有代码就能提升安全性。

应用场景

DefusedXML适用于任何需要处理XML输入的Python应用程序,特别是那些涉及用户提供的XML数据或者从不可信源获取XML的场景。例如,在web应用中接收XML格式的API请求,或者在数据分析时处理包含XML的数据集。

特点

  • 易用性:直接替换现有代码中的XML处理库即可启用安全防护。
  • 广泛兼容:支持多种常用的Python XML库。
  • 强大的防御能力:针对性地封堵已知的安全漏洞。
  • 社区活跃:持续维护,及时修复新发现的问题。

结语

对于任何一个处理XML数据的Python开发者来说,安全是不能忽视的重要因素。DefusedXML作为一个专注于安全的XML处理库,可以帮助你在不牺牲效率的前提下,大大降低XML相关的安全风险。尝试将它纳入你的项目,让代码更加健壮和安全吧!

GitHub项目主页

GitCode项目仓库

项目地址:https://gitcode.com/tiran/defusedxml

gitblog_00026
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
roscore提示“ModuleNotFoundError: No module named ‘defusedxml‘”的解决。
m0_46345373的博客
11-29 7470
roscore提示“ModuleNotFoundError: No module named ‘defusedxml’”的解决。 roscore error error photo: 错误原因是ros连接到了python3.x上了,正确情况下ros应该连接到python2.7上,解决步骤如下。 第一步:执行:ls -n /usr/bin/python 发现python软链接到了python3.7 第二步删除软链接:sudo rm -rf /usr/bin/python 第三步:然后再重新建立到python2
xml攻击 简介、示例、防范
weixin_42100211的博客
04-28 1890
在查找openpyxl的官方介绍时,注意到security这一栏提到了针对xml解析器的攻击。 介绍了什么是xml实体,各种xml实体攻击的基本思路,和其中一种xml攻击的demo。
roscore报错:ImportError: No module named ‘defusedxml
w_fla的博客
07-19 673
1.问题详情: 2.原因分析 这是基于ubuntu16.04安装ros kinetic版本下python解释器指向问题,ros默认依赖于python2.7版本,由于个人需要安装了其他版本的pythonpython版本与路径查看: whereis python 由此可看见安装了2.7和3.5两个版本,此时python解释器指向的是3.5这个版本,与ros不兼容,我们可以通过命令: ls -al /usr/bin/python 查看指向最后版本为其他版本,通过命令移除: sudo
python windows下安装模块(defusedxml为例)
夜夜夜夜
03-17 3420
windows下安装python的第三方模块,下面以defusedxml模块为例: 官方下载地址:https://pypi.python.org/pypi/defusedxml/#downloads 1、下载到本地后,解压下载包,里面有个setup.py文件 2、在cmd命令行下,切换到setup.py所在目录, 执行python setup.py install 3
python3从零学习-5.9.2、XML处理模块
山海皆可平z
06-16 275
源码:Lib/xml/ 用于处理XMLPython接口分组在xml包中。 警告:XML 模块对于错误或恶意构造的数据是不安全的。 如果需要解析不受信任或未经身份验证的数据,请参阅XML 漏洞和defusedxmldefusedexpat 软件包部分。 值得注意的是xml包中的模块要求至少有一个 SAX 兼容的 XML 解析器可用。在 Pythonm中包含 Expat 解析器,因此xml.parsers.expat模块将始终可用。 xml.dom和xml.sax包的...
signxml:Python XML签名
05-05
SignXMLPython中的XML签名SignXMLPython中W3C 标准的实现。 除其他用途外,该标准(也称为XMLDSig和 )用于在和提供有效负载安全性。 该标准存在两个版本( 和)。 SignXML实现了该标准的所有必需组件以及最推荐...
python-xmlsec:XML 安全Python 绑定
07-07
XML 安全Python 绑定。 用法 检查以查看使用进行签名和验证的各种示例。 安装 自动化 xmlsec可以通过easy_install或pip安装。 pip install xmlsec 手动的 将xmlsec存储克隆到本地计算机。 git clone git...
fonttools:一个Python处理字体文件的
05-11
fontTools是一个使用Python编写的用于处理字体的。 该项目包括TTX工具,该工具可以将TrueType和OpenType字体与XML文本格式(也称为TTX)相互转换。 它支持TrueType,OpenType,AFM,并在某种程度上支持Type 1和...
autosar:一组用于处理AUTOSAR XML文件的python模块
05-01
一组用于处理 XML文件的Python模块。 允许个人和团队使用Python代码逐步开发和维护AUTOSAR SWC模型。 执行Python脚本可以快速重新生成相同的ARXML文件(无需真正在版本控制中存储生成的ARXML文件)。 建议您使用...
xmlschema:适用于PythonXML模式验证器和数据转换
02-06
xmlschema:适用于PythonXML模式验证器和数据转换
java源码嵌套for循环-defusedxml:解析xml
06-05
循环的java源码压缩defusedxml -- 解除 XML 炸弹和其他漏洞 克里斯蒂安·海姆斯 <> 概要 对易受攻击的 XML 进行攻击的结果可能相当惊人。 攻击者只需几百字节的 XML 数据就可以在几秒钟内占用几千兆字节的内存。 攻击者还可以通过中小型请求使 CPU 长时间处于忙碌状态。 在某些情况下,甚至可以访问服务器上的本地文件、绕过防火墙或滥用服务将攻击反弹给第三方。 这些攻击使用和滥用 XML 及其解析器的不太常见的特性。 大多数开发人员不熟悉 XML 从 SGML 继承的处理指令和实体扩展等特性。 他们最多从 HTML 经验中了解<!DOCTYPE> ,但他们不知道文档类型定义 (DTD) 可以生成 HTTP 请求或从文件系统加载文件。 这些问题都不是新问题。 他们已经为人所知很长时间了。 十亿笑声于 2003 年首次报道。然而,一些 XML 和应用程序仍然容易受到攻击,甚至 XML 的重度用户也对这些功能感到惊讶。 很难说这种情况应该归咎于谁。 将所有责任都归咎于 XML 解析器和 XML 使用不安全的默认设置是太短视了。 毕竟他们正确地实现了 XML 规范。
【踩坑指南】ROS运行找不到defusedxml
Eric_Pxz的博客
09-27 522
ROS运行找不到defusedxml1. 报错信息2. 原因 1. 报错信息 ```bash auto-starting new master process[master]: started with pid [4080] Traceback (most recent call last): File "/opt/ros/kinetic/bin/rosmaster", line 34, in <module> import rosmaster File "/opt/ros/k
No module named defusedxml.ElementTree
陈嘿萌的博客
01-17 1557
No module named ‘defusedxml.ElementTree’ Python-Mac系统 在使用python的pandas处理excel时报这个错,应该如何解决呢?我反复重装pandas还是不行,在网上也搜索不到具体的问题。解决方案如下: 在这个报错之前如果提示缺少什么模块就先安装上就好了,使用anaconda命令行安装的命令如下: pip install name(这儿填缺少模块的名字) -i https://pypi.douban.com/simple 第一步,解决No modu
Python模块----XML模块
路一直都在在在的博客
03-14 199
Python模块之XML模块 xml是实现不同语言或程序之间进行数据交换的协议,跟json差不多,但json使用起来更简单,不过,古时候,在json还没诞生的黑暗年代,大家只能选择用xml,至今很多传统公司如金融行业的很多系统的接口还主要是xmlxml_test &lt;?xml version="1.0"?&gt; &lt;data&gt; &lt;country name="Li...
启动roscore报错:ImportError:No module named 'defusedxml'解决方案。
java0fu的博客
05-12 1530
问题描述: 解决方案: 1.查看系统python解释器指向: ls -al /usr/bin/python 下面是笔者的情况:指向python3.5 2.修改软链接指向python2.7 sudo rm -rf /usr/bin/python sudo ln -s /usr/bin/python2.7 /usr/bin/python ...
day5-xml模块
weixin_30387663的博客
01-18 99
一、简述xml即可扩展标记语言,它可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。它用于不同语言或者程序之间进行数据交换,从这点上讲与json差不多,只不过json看起来更美观、可读性更强。另外json诞生的时间并不是很久,在json出现以前,数据交换只能选择xml,即便是json已经在大面积使用的现在,xml依然被广泛使用,java项目中随处可见啊。二、xml的结...
roscore:No module named ‘defusedxml
endurance2017的博客
11-10 5909
引起这一错误的原因是无法找到/usr/bin/python这一链接,或者该链接并不是指向Python2。 ls -n /usr/bin/python 可以查看其指向,若是无该链接,则 sudo ln -s /usr/bin/python2 /usr/bin/python 若是有该链接,但是指向了Python3,则先 sudo rm -rf /usr/bin/python ...
ubuntu安装ROS
fb_941219的博客
03-22 2636
ubuntu安装ROS引言1.添加 sources.list2.添加 keys3.安装ros桌面完整版4.初始化 rosdep5.设置环境变量6.安装 rosinstall7.`roscore`测试 引言 每次都要去找博客,自己记录一下吧。这里为Ubuntu16.04安装ROS-kinetic版本。 1.添加 sources.list 主要是创建ros的安装源。路径如下:/etc/apt/sour...
pythonxml模块用法
weixin_33923148的博客
09-04 158
xml是实现不同语言或程序之间进行数据交换的协议,跟json差不多,但json使用起来更简单,不过,古时候,在json还没诞生的黑暗年代,大家只能选择用xml呀,至今很多传统公司如金融行业的很多系统的接口还主要是xmlxml的格式如下,就是通过<>节点来区别数据结构的: <?xml version="1.0"?> ...
python xml
最新发布
06-01
Python提供了多个XML解析,其中比较常用的是ElementTree和lxml。 ElementTree是Python标准中自带的,简单易用,但是在处理大型XML文件时性能较差。 lxml一个基于libxml2和libxslt的高性能XML解析,具有较好的性能和灵活性,但是相对于ElementTree来说使用稍微复杂一些。 以下是使用ElementTree解析XML文件的示例代码: ```python import xml.etree.ElementTree as ET # 解析XML文件 tree = ET.parse('example.xml') root = tree.getroot() # 访问根节点属性 print('Root node:', root.tag, root.attrib) # 遍历子节点 for child in root: print('Child node:', child.tag, child.attrib) # 访问子节点的子节点 for elem in root.iter(): print('Element:', elem.tag, elem.text) ``` 使用lxml解析XML文件时,代码与上述示例类似,只是需要将导入的改为lxml.etree即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gitblog_00026

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值