【網(wǎng)絡(luò)安全】JAVA代碼審計(jì)—— XXE外部實(shí)體注入

XML文檔聲明

<?xml version="1.0" encoding="utf-8"?>

2.2.2 元素

元素是 XML 以及 HTML 文檔的主要構(gòu)建模塊，元素可包含文本、其他元素或者是空

空元素有例如：hr、br、img

2.2.3 屬性

屬性可提供有關(guān)元素的額外信息

其中，src為屬性

2.2.4 實(shí)體

實(shí)體分為四種類(lèi)型，分別為：

• 字符實(shí)體

• 命名實(shí)體

• 外部實(shí)體

• 參數(shù)實(shí)體

2.3 文檔類(lèi)型定義--DTD

DTD是用來(lái)規(guī)范XML文檔格式，既可以用來(lái)說(shuō)明哪些元素/屬性是合法的以及元素間應(yīng)當(dāng)怎樣嵌套/結(jié)合，也用來(lái)將一些特殊字符和可復(fù)用代碼段自定義為實(shí)體

DTD可以嵌入XML文檔當(dāng)中（內(nèi)部聲明），也可以以單獨(dú)的文件存放（外部引用）