使用配置的
XML
解析器无法预防和限制外部实体进行解析,这会使解析器暴露在
XML External Entities
攻击
之下
说明:
XML External Entities
攻击可利用能够在处理时动态构建文档的
XML
功能。
XML
实体可动态包含来自给定资
源的数据。外部实体允许
XML
文档包含来自外部
URI
的数据。除非另行配置,否则外部实体会迫使