-php,java,python-过滤及禁用

方案 1-禁用外部实体

  1. PHP:
  2. libxml_disable_entity_loader(true);
  5. JAVA:
  6. DocumentBuilderFactory dbf
  7. =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);
  10. Python
  11. from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案 2-过滤用户提交的 XML 数据

  1. 过滤关键词:<!DOCTYPE 和<!ENTITY,或者 SYSTEM  PUBLIC