Help us learn about your current experience with the documentation. Take the survey.
XSLT 注入
描述
可以向服务器端的 XSLT 处理器提供 XSL 模板。XSLT 处理器可能被滥用来读取或写入文件、发起出站连接,在某些情况下还能执行任意代码。
修复方案
应用程序不应接受用户提供的样式表。XSLT 处理器并非设计用于处理可能存在恶意的样式表文件。但是,某些处理器确实实现了或提供了可用的安全功能。请查阅目标应用程序使用的 XSLT 处理器的文档,了解安全指南和加固步骤。建议所有 XML 解析器和处理器至少禁用外部实体解析。
详情
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 74.1 | false | 74 | Active | high |