【网络安全】JAVA代码审计—— XXE外部实体注入

XML文档声明

<?xml version="1.0" encoding="utf-8"?>

2.2.2 元素

元素是 XML 以及 HTML 文档的主要构建模块，元素可包含文本、其他元素或者是空

空元素有例如：hr、br、img

2.2.3 属性

属性可提供有关元素的额外信息

其中，src为属性

2.2.4 实体

实体分为四种类型，分别为：

• 字符实体

• 命名实体

• 外部实体

• 参数实体

2.3 文档类型定义--DTD

DTD是用来规范XML文档格式，既可以用来说明哪些元素/属性是合法的以及元素间应当怎样嵌套/结合，也用来将一些特殊字符和可复用代码段自定义为实体

DTD可以嵌入XML文档当中（内部声明），也可以以单独的文件存放（外部引用）