XML 实体

最新推荐文章于 2024-04-24 10:45:27 发布
最新推荐文章于 2024-04-24 10:45:27 发布
阅读量8.8k 收藏 5
点赞数 1
分类专栏: XML使用 文章标签: xml 文档 system c# html 网络

 第三篇: 学习xml 之"实体"篇

         xml包含的7大基础概念:

 

              1、元素  在xml将xml数据划分为不同部分和语义的标签,如:<name></name>

              2、属性  对元素进行描述和修饰。 <item id="1"></item>              

              3、名称空间    类似于c#中的名称空间,用来隔离相同或不同的元素。

              4、实体    内容占位符,用于内容转义,代表一些重复的或无法通过键盘输入或与xml 规范保留字符相冲突的字符数据,有点似类于 c# 中的转义字符。

              5、注释 文档的注解,写程序员都明白

              6、CDATA  CDATA指的是 CharacterData 字符数据,在CDATA块中的字符将以原样输出。xml处理器不做任何解释。xml认为CDATA是纯字符数据,不存在标记和其他元素。 这个有点类似于 c#中的 @符号,我们在一个字符串前使用@与这个CDATA有异曲同工之妙。

              7、处理指令 格式<?name data?>,负责与处理器进行交互,每种xml处理器都有一些命令开关。而处理器指令就是调用这些开关的。每个处理器的开关都不尽相 同。<?xml version="1.0" ?> 这个处理指令是每个xml处理器都支持的。


  xml的七大基础概念中,实体算是最复杂的了,现在开始介绍实体:

   一、实体的作用:

                        A、代替无法输入的字符,键盘只有26个字母和一些简单的标点符号,而字符集中有成N多各种符号是无法在键盘中输入的。这时使用实体来代替。

                        B、代替一些与xml规范保留字相冲突的内容,如:<   >  等等。

                        C、代替大段的重复的文本。

   二、实体的分类:

     实体分为: 参数实体通用实体两种。 参数实体用在DTD定义中。一般的xml文档中都使用通用实体。这里只介绍通用实体。

    
                  
    使用实体之前,必需先声时,声明语句位于xml文档的序言的内部子集中,实体声明必需使用大写方式,如:<!ENTITY myentity "这是一个实体"> ,ENTITY必需是大写的。使用实本时,在实体名称前面加上 & ,并表在后面加上分号:  ;。与HTML中的转义符类似。在以下xml中:&client;引用了一个实体,&241;引用了一个实体。当xml处理器碰到实体引 用时,会使用定义实体时设定的值去代替实体声时。 如下面的示例,当处理器解析到&client;时, 会使用"Mr.Rufus Xavier Sasperilla"来代替这个&client;在解析后的文本中,是看不到&client;的。

 

 

<? xml version="1.0" ?>
   <! DOCTYPE message="SYSTEM "/xmlstuff/dtds/message.dtd"
[
  <!ENTITY client "Mr.Rufus Xavier Sasperilla" >
   <! ENTITY agent "MS. Sally Tashuns" >
   <! ENTITY phone "<number > 617-555-1299 </ number > ">
]>
 < message >
   < opening > Dear  &client; </ opening >
   < body > We Have an exciting in Pi &241; ,call   &agent; </ body >
</ message >

 
 1、字符实体 
  
   字符实体用来代表单个字符。字符实体分为以下三种:
 
     a、预定义字符实体
        由XML规范预先定义好了,如 amp 代表&, apos 代表单引号,gt 代表>, 在使用时加上&号,如: &amp; 表示单个字符&, &apos;  表示单引号。

     b、数字字符实体
         在前面我们总结实体的作用时,有一条;可以代表无法输入的字符。这些字符就是使用数字字符实体表示的。我们可以使用某个字符在字符集中的位 置数来表示该字符。 该数字可以使用10进制或16进制的方式表示,在数字前面加上:&# , 比如: ç    16进制的表示:ç , 这两种方式都表示同一个字符。

     c、命名字符实体
                            与数字字符实体类似,只是将数字改为一个更容易记忆的英文标识.

  2、混合内容实体

   混合内容实体是xml中使用得最多的实体,它的值不仅限于单个字符,还可以代表不限长度的各种字符块。混合内容实体分为:内部实体和外部实体

               a、内部混合实体
      内部混合实体表示该实体在xml文档内部定义,内部实体常用来代替经常重复的短语,名称和模板文本。上面的xml示例中,agent 实体就是典型。 除了agent,clietn, phone 实体都是内部混合实体。

    b、外部混合实体
                        一些实体需要代表大块的字符,为了便于文件的管理,可以将这些大块的字符放在其他文件中,这是外部混合实体便发挥作用了。可以在外部文件中定义实体,然后在xml文档中声明并使用它。下面是一个例子:

<? xml version="1.0" ?>
<! DOCTYPE doc SYSTEM "http://www.dtds-r-us.com/generic.dtd"
[
  <!ENTITY part1 SYSTEM "P1.xml" >
   <! ENTITY part2 SYSTEM "p2.xml" >
   <! ENTITY part3 SYSTEM "p3.xml" >
]>
 < longdoc >
   &part1;
   &part2;
   &part3;
</ longdoc >

   <!ENTITY part1 SYSTEM "P1.xml"> 声明了一个名称为;“part1"的外部实体,该实体代表的内容处于P1.xml文件中。 part2, part3 也分别代表了 p2.xml, p3.xml 中的内容。

外部混合实体最大的用处是可以将内容太长的xml文档分成几个小的xml文档,便于网络传输。

 
  3、未析实体 

   未体实体代表不同于xml文档内容的其他数据,如:二进制数据等等。当xml处理器无法识别该数据时,不会像对待其他实体一样,去解析它,而是让它保持原样。未析实体的定义与外部混合实体的声明方式类似,只是后面多了个“NDATA”字符和一些数据标识。比如:

<? xml versino="1.0" ?>
<! DOCTYPE doc 
[
  <!ENTITY mypic SYSTEM "photos/erik.gif" NDATA GIF >
]>
 < doc >
    < para > Here's a picture of me: </ para >
    &mypic;
</ doc >
zxpo
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xml实体类转换工具
09-28
XML实体类的相互转换工具,util是工具类,MyTest包含实体类转xml字符串以及XML字符串转实体类的方法,需要引入外部依赖或jar包,亲测可用
XML 2—— XML文档的元素、属性、实体
老顽固也可爱
01-26 288
对于XML文档来说,<?处理指令必须要顶格写,前面不能有任何的空白。 XML元素可以具有属性,属性的形式为“属性名="属性值",比如gender="male"。属性值需要使用单引号或双引号括起来。多个属性之间使用空格分开。 通过样式,我们可以实现XML内容与展现形式的分离。 XML的注释:<!-- comments -->,注释不允许嵌套。 在一个元素上相同的属性值只能出现一...
XML实体攻击
05-11
XML实体攻击相关介绍,学习好了会有相当大的用处!毕竟很少有地方关注这里!
xml实体对象相互转换 一步到位
04-10
NULL 博文链接:https://crawler.iteye.com/blog/1671936
XML转任意实体
10-09
XML转任意实体,C#实现XML转任意实体,经过测试可以使用;
XML中添加实体
风随星月
10-06 1000
文档创建文本宏 许多开发人员在 XHTML 中使用实体代替特殊字符,但是也可以在 XML 中定义实体来简化创作或者引用外部文档的内容。在我们创建文档类型定义(Document Type Definition,DTD)并试图减小它的表面复杂性以便适合人类阅读时,实体也能派上用场。本文将全面介绍 XML 实体,并展示如何在文档中利用它们的优势。 0 评论: Ch
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5153
XML外部实体注入,Vuln-XXE靶机复现和无回显XXE的使用
XML中的字符实体与字符数据介绍
xiaoweids的博客
06-02 236
这篇文章主要介绍了XML中的字符实体与字符数据,文中所说的CDATA片段即是指字符数据即不由解析器解析的文本块,需要的朋友可以参考下
XML外部实体注入——XXE漏洞详解
Gefangenes的博客
07-02 1789
首先要了解什么是XXE漏洞,首先应该了解一下什么是XMLXML(可扩展标记语言,英文全称:eXtensible Markup Language)是一种用于描述数据结构和交换数据的标记语言。XML是一种非常灵活的语言,可以用于描述各种类型的数据,如文档、图像、音频、视频等。这个解释太官方,我们可以将xml语言和html对比着再来解释一下1>xml仅仅是纯文本,他不会做任何事情2>xml可以自己发明标签(允许定义自己的标签和文档结构)3>专门用来存放传输数据的东西。
Oracle_Attip_XML_Entity_Exploit:Oracle Attip XML实体利用
02-24
服务总线CVE-2019-2576上的XML实体扩展 概述: 从下面的请求/响应示例中可以看出,可以执行xml实体扩展攻击,并且该攻击可以发送超出现有内存和处理器容量的请求,从而导致内存瓶颈并阻止服务运行。 返回更多10kb的请求。 主题:XML实体扩展CVSSv3.0基本得分:5.3 CVSS向量:CVSS:3.0 / AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:L 主题:OSB中的XML实体扩展缺陷CVSSv3.0基本得分:5.3 CVSS向量:CVSS:3.0 / AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:长 主题:SOAP实施,具体取决于XML实体扩展漏洞CVSSv3.0基本得分:5.3 CVSS向量:CVSS:3.0 / AV:N / AC:L / PR:N / UI:N
C#实现实体类和XML相互转换
08-31
主要为大家详细介绍了C#实现实体类和XML相互转换的资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
xml详解
technologyleader的专栏
02-24 8291
一、xml基础详解: 1、概述: xml:即可扩展标记语言,xml是互联网数据传输的重要工具,它可以跨越互联网任何的平台,不受编程语言和操作系统的限制,可以说它是一个拥有互联网最高级别通行证的数据携带者。xml是当前处理结构化文档信息中相当给力的技术,xml有助于在服务器之间穿梭结构化数据,这使得开发人员更加得心应手的控制数据的存储和传输。 Xml用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。Xml是标准通用标记语言(...
深入浅出带你了解XML实体注入
qq_44005305的博客
01-02 870
Xml外部实体注入漏洞(XML External Entity Injection)简称XXE,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可以构造加载恶意外部文件,进而通过恶意外部文件对服务器进行攻击。今天比较详细的讲了XXE漏洞的原理以及应用方法,有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。## 题外话初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。
如何自定义xml文件
a846075506的博客
05-23 892
在定义文件之前,首先要弄清楚什么是xml文件和dtd文件。 一:什么是xml文件? xml是一种可扩展标记性语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有构造性的标记语言。 二:什么事dtd文件? DTD(文档类型定义)的作用是定义xml文档的合法构建模块。 三:创建xml文件 1.必有文件开头,如下图: <?xml version="1.0" en...
XML实体注入
weixin_55190422的博客
09-25 458
XML实体注入 首先介绍下基础知识把 XML大体格式如下: 接下来我以一个题目讲解 首先题目已经告诉我们了这是一道关于XML的题目 那么怎么做呢 我们打开靶机发现是一个登录界面 我们审查网页源代码 发现里面还有个dologin.php类似于PHP源码。所以我们考虑BP抓包发现是个XXE漏洞Accept: application/xml, text/xml, */*; q=0.01 X-Requested-With: XMLHttpRequest 我们用这个格式payl
XML实体
Alec的专栏
05-19 1257
实体可以用以下3种方式分类:1、通用实体和参数实体,通用实体(general entity)用于XML文档中,在文档中通过引用来生成文字数据或二进制数据;而参数实体(parameter entity)只能用于DTD中。2、内部实体和外部实体,内部实体(internal entity)完全引用它的文档内定义;外部实(external entity)的内容则全部来源于外部文档。3、解析实体和未解析实体
xml实体
念时光
07-26 405
实体相当于我们说的常量, XML中预定义的实体 " 双引号 &apos; 单引号 < & & 自定义一般实体 定义参数实体 参数实体就是在普通实体名字前面加上“%”。
jackson.dataformat.xml 反序列化 对象中包含泛型
最新发布
正怒月神的博客
04-24 227
指定XML元素用于List或者Map ,默认值userWrapping=true。我的Model嵌套了一个泛型,我们重点关注Containers 这个对象。这个注解写在类上,用来忽略在xml中有的属性但是在类中没有的情况。localName 指定root的根路径的名称,默认值为类名。为了让Jackson认出泛型,从而可以顺利反序列化。Containers中,有一个泛型List<>localName 指定本地名称。我们使用如下两个注解。
xml 实体执行命令java xxe
01-07
XML实体执行命令漏洞(XML External Entity,简称XXE),是指在XML文档的解析过程中,利用实体注入技术来执行恶意命令的一种攻击方式。对于该问题,以下是一个用300字中文回答: XML实体执行命令java xxe是一种漏洞攻击方式。当解析XML时,攻击者通过在XML文档中注入带有恶意代码的实体,可以导致服务器执行恶意命令或读取敏感数据。 在Java中,XXE漏洞可以通过DocumentBuilderFactory解析XML时使用的解析器特性(如“<!DOCTYPE”、“DOCTYPE”和“<ENTITY>”等)来注入实体。攻击者可以构造恶意的XML文档,通过实体注入技术注入包含恶意代码的外部资源引用。当XML文档被解析时,解析器会尝试从外部资源加载实体,如果攻击者在外部资源中包含了一些系统命令,那么这些命令就会被执行。 为防止XXE漏洞,应对输入进行合理过滤和安全处理。可采取以下几种防护措施:1.禁止或限制解析器使用外部实体和外部DTD文件。2.使用安全的解析器,如Woodstox、SAX、SAXON等,它们可以禁用外部实体和DTD。3.对输入进行严格的验证和过滤,确保只接受合法的XML数据。4.采用白名单机制,限制允许的XML元素、属性和实体。 总之,通过对输入进行严格验证和过滤,禁用或限制外部实体和DTD,选择安全的解析器等措施,可以有效防范XML实体执行命令java xxe漏洞带来的危害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值