XML 基础知识 && XXE 漏洞原理解析及实验

文章预览

XML 介绍 XXE 全称 XML 外部实体注入，所以在介绍 XXE 漏洞之前，先来说一说什么是 XML 以及为什么使用 XML 进而再介绍一下 XML 的结构。 XML 全称 可拓展标记语言，与 HTML 相互配合后： HMTL 用来显示数据 HTML 的焦点在于数据的外观（如何显示数据） XML 用来 传输和存储数据 XML 的焦点在于数据的内容（如何存储传输数据） 总结来说： HTML 提供了一个模板， XML 动态的改变模板中对应数据位置中的数据。 为什么要将数据从 HTML 中分离 若要在 HTML 文档中显示动态的数据，每当数据需要改变的时候需要大量的时间编辑 HTML。 通过 XML 将数据存储在独立的 XML 文件中，每次需要更新数据时只需通过发出 XMLHttpRequest 到服务端请求相应的数据（ Ajax ）即可。 而 HTML/CSS 只需专注于显示与布局即可，底层的数据从 XML 文件中获取即可，这样修改底层的数据不会对 HTML ………………………………