SQL注入:
in (${taskCondition})
替换为
in <foreach collection="taskCondition" open="(" separator="," close=")" item="name"> #{name} </foreach>
常见安全漏洞:
XXE(XML外部实体注入漏洞:https://thief.one/2017/06/20/1/
文档类型定义时<!DOCTYPE的<!ENTITY引入外部实体的内容作为文档元素的值,元素值被程序使用后引发的攻击,读取本地文件等。
java禁用外部实体
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
)或
过滤用户提交的XML数据
过滤关键词:<!DOCTYPE和<!ENTITY,或者SYSTEM和PUBLIC。
,
CSS,CRSF,SQL注入(预编译prepareStatement来解决)
mybatis用#赋值类似于JDBC里preparestatement有个预编译过程,不怕sql注入,$是直接拼接可能被sql注入,可改成#的形式
XXE基础:
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD(Document Type Definition)文档类型定义(可选)、文档元素。
文档类型定义可选指可以用别的文档类型定义比如XSD,但必须有,不然无法识别XML文档元素(标签)。
XML文件的文档类型定义(Document Type Definition)可以看成一个或者多个XML文件的模板,在这里可以定义XML文件中的元素、元素的属性、元素的排列方式、元素包含的内容等等。
DTD(Document Type Definition)概念缘于SGML,每一份SGML文件,均应有相对应的DTD。对XML文件而言,DTD并非特别需要,well-formed XML就不需要有DTD。DTD有四个组成如下:
- 元素(Elements)
- 属性(Attribute)
- 实体(Entities)
- 注释(Comments)
由于DTD限制较多,使用时较不方便,近来已渐被XML Schema所取代。
XSD (XML Schema Definition)是W3C于2001年5月发布的推荐标准,指出如何形式描述XML文档的元素。XSD是许多XML Schema 语言中的一支。XSD是首先分离于XML本身的schema语言,故获取W3C的推荐地位。
像所有XML Schema 语言一样,XSD用来描述一组规则──一个XML文件必须遵守这些规则,才能根据该schema‘合法(Valid)’。
XML Schema
关于XML文档的xmlns、xmlns:xsi和xsi:schemaLocation
https://my.oschina.net/itblog/blog/390001
为什么需要xmlns?
考虑这样两个XML文档:表示HTML表格元素的<table/>:
<table>
<tr>
<td>Apples</td>
<td>Bananas</td>
</tr>
</table>
和描述一张桌子的<table/>:
<table>
<name>African Coffee Table</name>
<width>80</width>
<length>120</length>
</table>
假如这两个 XML 文档被一起使用,由于两个文档都包含带有不同内容和定义的 <table> 元素,就会发生命名冲突。XML 解析器是无法确定如何处理这类冲突。为了解决上述问题,xmlns就产生了。
如何使用xmlns?
很简单,使用语法: xmlns:namespace-prefix="namespaceURI"。其中namespace-prefix为自定义前缀,只要在这个XML文档中保证前缀不重复即可;namespaceURI是这个前缀对应的XML Namespace的定义。例如,
xmlns:context="http://www.springframework.org/schema/context"
这一句定义了一个http://www.springframwork.org/schema/context的Namespace(这和Java类中的包的声明很相似),并将其和前缀context绑定。所以上面的Spring XML文档中会有这么一句:
<context:component-scan base-package="xxx.xxx.controller" />
这里的<component-scan/>元素就来自别名为context的XML Namespace,也就是在http://www.springframework.org/schema/context中定义的。
我们还可以将前缀定义为abc:
xmlns:abc="namespaceURI"
这样再使用这个namespaceURI中的元素时,需要以abc为前缀,例如:<abc:xxx/>。再拿上面的例子解释怎么使用xmlns:
<!-- 这里xmlns:h="url1"表示这个table是用h作为标记,table的写法在url1中定义 -->
<h:table xmlns:h="url1">
<h:tr>
<h:td>Apples</h:td>
<h:td>Bananas</h:td>
</h:tr>
</h:table>
和:
<!-- 这里xmlns:f="url2"表示这个table是用f作为标记,table的写法在url2中定义 -->
<f:table xmlns:f="url2">
<f:name>African Coffee Table</f:name>
<f:width>80</f:width>
<f:length>120</f:length>
</f:table>
后者与前者仅仅使用不同前缀,我们为 <table> 标签添加了一个 xmlns 属性,这样就为前缀赋予了一个与某个命名空间相关联的限定名称。此时再把它们放在一起,XML解析器就不会报错了。
注意:当xmlns被定义在元素的开始标签中(如这里的<f:table/>)时,所有带有相同前缀的子元素都会与同一个Namespace相关联(即<f:table/>里面的<f:name/>和<f:width/>也会使用url2定义的写法)。
xmlns和xmlns:xsi有什么不同?
xmlns表示默认的Namespace。例如Spring XML文档中的
xmlns="http://www.springframework.org/schema/beans"
这一句表示该文档默认的XML Namespace为http://www.springframwork.org/schema/beans。对于默认的Namespace中的元素,可以不使用前缀。例如Spring XML文档中的
<bean id="xxx" class="xxx.xxx.xxx.Xxx">
<property name="xxx" value="xxxx"/>
</bean>
xmlns:xsi表示使用xsi作为前缀的Namespace,当然前缀xsi需要在文档中声明。
xsi:schemaLocation有何作用?
xsi:schemaLocation属性其实是Namespace为http://www.w3.org/2001/XMLSchema-instance里的schemaLocation属性,正是因为我们一开始声明了
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
这里才写作xsi:schemaLocation(当然一般都使用这个前缀)。它定义了XML Namespace和对应的XSD(Xml Schema Definition)文档的位置的关系。它的值由一个或多个URI引用对组成(可以简单理解为Key-Value对),两个URI之间以空白符分隔(空格和换行均可)。第一个URI(即Key-Value对中的Key)是定义的XML Namespace的值,第二个URI(即Value)给出Schema文档的位置(此文档中的元素或属性被XML使用时跟xsi无关,不用使用xsi作为前缀),Schema处理器将从这个位置读取Schema文档,该文档的targetNamespace必须与第一个URI相匹配.
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 这个命名空间里面的元素或者属性就必须要以xsi:这种方式来写,比如schemaLocation就是他的一个属性,所以写成xsi:schemaLocation,而默认命名空间不带类似xsi这种