1

Is it true (or at least makes sense) that one can have a XXE attack on Javascript? This is, when trying to parse XML with JS, does it process external entities? But this parsing is executed client side, am I right? What harm can it do to a server?

How can we prevent such attacks on Javascript XML DOM or Jquery or alike?

Thank you! Cheers

4

1 回答 1

1

不,也许旧的 Internet Explorer 很容易受到攻击,但当前的浏览器没有。(大约 2 年前,我用 ie、ff、chrome、opera 桌面浏览器对其进行了测试。我找不到可以尝试的安装程序,但有传言说,使用 ie5 或 ie6 可能会发生这种攻击。所以这是只是有趣,而不是客户端编程的真正威胁。)

一般来说,如果你想防止这样的攻击,你必须在你的 XML 解析器中关闭处理外部实体,仅此而已。

于 2014-08-01T21:57:16.690 回答