web漏洞-XXE漏洞

XXE漏洞：XML外部实体注入。

XML是用来标记电子文件使其具有结构性的标记语言，允许用户自定义标记语言。
XML文档结构：
·XML声明
·DTD：文档类型定义
·文档元素

在XML代码中如果没有限制XML引入外部实体，那么当创建一个包含外部实体的XML时，外部实体的内容就会被执行。

【修复】：
·禁止使用外部实体
·过滤用户提交的XML数据