安全

SQL注入：

in (${taskCondition})
替换为
in <foreach collection="taskCondition" open="(" separator="," close=")" item="name"> #{name} </foreach> 

 

常见安全漏洞：

XXE(XML外部实体注入漏洞:https://thief.one/2017/06/20/1/

文档类型定义时<!DOCTYPE的<!ENTITY引入外部实体的内容作为文档元素的值，元素值被程序使用后引发的攻击，读取本地文件等。

 

java禁用外部实体

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

)或

过滤用户提交的XML数据

过滤关键词：<!DOCTYPE和<!ENTITY，或者SYSTEM和PUBLIC。

，

CSS,CRSF,SQL注入(预编译prepareStatement来解决)

mybatis用#赋值类似于JDBC里preparestatement有个预编译过程，不怕sql注入，$是直接拼接可能被sql注入，可改成#的形式

 

XXE基础：

XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD(Document Type Definition)文档类型定义（可选）、文档元素。

文档类型定义可选指可以用别的文档类型定义比如XSD，但必须有，不然无法识别XML文档元素(标签)。

XML文件的文档类型定义（Document Type Definition）可以看成一个或者多个XML文件的模板，在这里可以定义XML文件中的元素、元素的属性、元素的排列方式、元素包含的内容等等。

DTD（Document Type Definition）概念缘于SGML，每一份SGML文件，均应有相对应的DTD。对XML文件而言，DTD并非特别需要，well-formed XML就不需要有DTD。DTD有四个组成如下：

• 元素（Elements）
• 属性（Attribute）
• 实体（Entities）
• 注释（Comments）

由于DTD限制较多，使用时较不方便，近来已渐被XML Schema所取代。

XSD (XML Schema Definition)是W3C于2001年5月发布的推荐标准，指出如何形式描述XML文档的元素。XSD是许多XML Schema 语言中的一支。XSD是首先分离于XML本身的schema语言，故获取W3C的推荐地位。
像所有XML Schema 语言一样，XSD用来描述一组规则──一个XML文件必须遵守这些规则，才能根据该schema‘合法（Valid）’。

XML Schema

 

 

 

 

关于XML文档的xmlns、xmlns:xsi和xsi:schemaLocation

https://my.oschina.net/itblog/blog/390001

为什么需要xmlns？
    考虑这样两个XML文档：表示HTML表格元素的<table/>：

<table>
  <tr>
    <td>Apples</td>
    <td>Bananas</td>
  </tr>
</table>
    和描述一张桌子的<table/>：

<table>
  <name>African Coffee Table</name>
  <width>80</width>
  <length>120</length>
</table>
    假如这两个 XML 文档被一起使用，由于两个文档都包含带有不同内容和定义的 <table> 元素，就会发生命名冲突。XML 解析器是无法确定如何处理这类冲突。为了解决上述问题，xmlns就产生了。

    

    如何使用xmlns？
    很简单，使用语法： xmlns:namespace-prefix="namespaceURI"。其中namespace-prefix为自定义前缀，只要在这个XML文档中保证前缀不重复即可；namespaceURI是这个前缀对应的XML Namespace的定义。例如，

xmlns:context="http://www.springframework.org/schema/context"
    这一句定义了一个http://www.springframwork.org/schema/context的Namespace（这和Java类中的包的声明很相似），并将其和前缀context绑定。所以上面的Spring XML文档中会有这么一句：

<context:component-scan base-package="xxx.xxx.controller" />
    这里的<component-scan/>元素就来自别名为context的XML Namespace，也就是在http://www.springframework.org/schema/context中定义的。

    我们还可以将前缀定义为abc：

xmlns:abc="namespaceURI"
    这样再使用这个namespaceURI中的元素时，需要以abc为前缀，例如：<abc:xxx/>。再拿上面的例子解释怎么使用xmlns：

<!-- 这里xmlns:h="url1"表示这个table是用h作为标记，table的写法在url1中定义 -->
<h:table xmlns:h="url1">
  <h:tr>
    <h:td>Apples</h:td>
    <h:td>Bananas</h:td>
  </h:tr>
</h:table>
    和：

<!-- 这里xmlns:f="url2"表示这个table是用f作为标记，table的写法在url2中定义 -->
<f:table xmlns:f="url2">
  <f:name>African Coffee Table</f:name>
  <f:width>80</f:width>
  <f:length>120</f:length>
</f:table>
    后者与前者仅仅使用不同前缀，我们为 <table> 标签添加了一个 xmlns 属性，这样就为前缀赋予了一个与某个命名空间相关联的限定名称。此时再把它们放在一起，XML解析器就不会报错了。

    注意：当xmlns被定义在元素的开始标签中（如这里的<f:table/>）时，所有带有相同前缀的子元素都会与同一个Namespace相关联（即<f:table/>里面的<f:name/>和<f:width/>也会使用url2定义的写法）。

 

 xmlns和xmlns:xsi有什么不同？
    xmlns表示默认的Namespace。例如Spring XML文档中的

xmlns="http://www.springframework.org/schema/beans"
    这一句表示该文档默认的XML Namespace为http://www.springframwork.org/schema/beans。对于默认的Namespace中的元素，可以不使用前缀。例如Spring XML文档中的

<bean id="xxx" class="xxx.xxx.xxx.Xxx">
  <property name="xxx" value="xxxx"/>
</bean>
    xmlns:xsi表示使用xsi作为前缀的Namespace，当然前缀xsi需要在文档中声明。

 

    xsi:schemaLocation有何作用？
    xsi:schemaLocation属性其实是Namespace为http://www.w3.org/2001/XMLSchema-instance里的schemaLocation属性，正是因为我们一开始声明了

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    这里才写作xsi:schemaLocation（当然一般都使用这个前缀）。它定义了XML Namespace和对应的XSD（Xml Schema Definition）文档的位置的关系。它的值由一个或多个URI引用对组成（可以简单理解为Key-Value对），两个URI之间以空白符分隔（空格和换行均可）。第一个URI（即Key-Value对中的Key）是定义的XML Namespace的值，第二个URI（即Value）给出Schema文档的位置(此文档中的元素或属性被XML使用时跟xsi无关，不用使用xsi作为前缀)，Schema处理器将从这个位置读取Schema文档，该文档的targetNamespace必须与第一个URI相匹配.

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 这个命名空间里面的元素或者属性就必须要以xsi:这种方式来写，比如schemaLocation就是他的一个属性，所以写成xsi:schemaLocation，而默认命名空间不带类似xsi这种