XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。
XML 指可扩展标记语言
XML是一种很像HTML的标记语言,但是其语法比HTML更为严谨。
XML 被设计用来传输和存储数据,而不是显示数据。
XML标签没有被预定义。您需要自行定义标签。
注意点:XML不会做任何事情,它仅仅是包装在XML标签中的纯粹的信息。
XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
//元数据,版本为xml解析器解析的版本John 20 为根元素,有且仅有一个
< ,> ," ,' , &等符号不被允许直接出现在XML文档中,因为xml解析器会搞不清这些符号是数据还是标签
20 < > & " ' ×<