Javascript中的XXE漏洞
对Javascript进行XXE攻击是真的(或者至少是有意义的)吗? 也就是说,当试图用JS解析XML时,它是否处理外部实体?但是这个 解析是在客户端执行的,对吗?它会对服务器造成什么危害 我们如何防止对Javascript、XML、DOM或Jquery等的此类攻击 谢谢大家!!Javascript中的XXE漏洞,javascript,jquery,xml,security,xxe,Javascript,Jquery,Xml,Security,Xxe,对Javascript进行XXE攻击是真的(或者至少是有意义的)吗? 也就是说,当试图用JS解析XML时,它是否处理外部实体?但是这个 解析是在客户端执行的,对吗?它会对服务器造成什么危害 我们如何防止对Javascript、XML、DOM或Jquery等的此类攻击 谢谢大家!! 干杯不,也许老的互联网探索者很容易受到攻击,但现在的浏览器却不是。(大约两年前,我用ie、ff、chrome、opera桌面浏览器进行了测试。我找不到安装程序进行测试,但有传言称,ie5或ie6可能会发生这种攻击。因此
干杯不,也许老的互联网探索者很容易受到攻击,但现在的浏览器却不是。(大约两年前,我用ie、ff、chrome、opera桌面浏览器进行了测试。我找不到安装程序进行测试,但有传言称,ie5或ie6可能会发生这种攻击。因此,这很有趣,不是客户端编程的真正威胁。)
一般来说,如果要防止这种攻击,您必须关闭XML解析器中的外部实体处理功能,仅此而已。也可以在此处搜索/发布:为什么不进行测试?在一个站点上放置一些做XXE的XML,用你的浏览器点击它,看看浏览器是否能加载这些外部实体。当然,我会尝试一下。我的问题更多的是关于进行这种攻击的可行性和意义。谢谢你的回答。它在客户端编程中没有意义,这似乎是合理的。您知道用javascript关闭这些外部实体处理的方法吗?我在搜索中找不到……这是因为客户端xml解析器中没有这样的功能。默认情况下,它处于禁用状态,您无法启用。例如,通过PHP libXML,它在默认情况下是启用的,您应该始终使用
libXML\u disable\u entity\u loader(true)