Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
Python 的XML 处理模块文档列出了其 XML 处理模块中的漏洞。我会假设 html5lib 遵循 HTML5 规范(除了未知错误),因此不会同样容易受到恶意输入的攻击,但我讨厌做出假设,也找不到关于潜在安全问题的讨论。
那么有什么我应该注意的安全问题吗?或者使用它来解析恶意构造的html是否安全?
简短的回答是否定的(至少任何人都知道)——XML 攻击利用了 HTML 中不存在的 XML 的“特性”。(从技术上讲,“解压缩炸弹”适用于几乎所有格式,并不是对 XML 的真正攻击——它们是对解压缩器的攻击。)