一个人可以对Javascript进行XXE攻击,这是真的吗(或者至少是有道理的)?这是,当试图用JS解析XML时,它是否处理外部实体?但这种解析是客户端执行的,我说得对吗?它会对服务器造成什么伤害?
我们如何防止对JavascriptXMLDOM或Jquery等的此类攻击?
谢谢干杯
不,也许旧的互联网浏览器是易受攻击的,但当前的浏览器不是。(大约两年前,我用ie、ff、chrome、Opera桌面浏览器测试过它。我找不到安装程序来尝试,但有传言说,这种攻击在ie5或ie6上可能是可能的。所以这只是有趣的,不是客户端编程的真正威胁。)
一般来说,如果你想阻止这样的攻击,你必须在你的XML解析器中关闭处理外部实体,仅此而已。
