Nếu tôi đang sử dụng một XmlPullParser trong ứng dụng của tôi là nó có thể cho nó được tiếp xúc với các lỗ hổng như "billion laughs"?Android XmlPullParser xử lý các lỗ hổng như thế nào?
Cần thực hiện các thủ tục bảo mật nào khi sử dụng XmlPullParser?
Theo mặc định, XMlPullParser sẽ không phân tích cú pháp đối tượng, do đó bạn sẽ không bị tiếp xúc với các lỗ hổng đó. Tuy nhiên, bạn sẽ phải đối phó với các ngoại lệ được khởi chạy khi cố phân tích các thực thể không khai báo. Để giữ hành vi này, bạn phải đảm bảo rằng XMlPullParser.FEATURE_PROCESS_DOCDECL được đặt thành false trước bất kỳ phân tích cú pháp tài liệu nào.
Bạn cũng nên không xác thực XML của mình bằng DTD đến từ nguồn không xác định. Cách tiếp cận tốt nhất cho việc này là sử dụng một DTD được nhúng trong ứng dụng của bạn và sử dụng nó để xác nhận hợp lệ XML.
Bạn có thể tìm thêm về XML Entities extenal làm theo các liên kết:
@ user13 Hãy dừng thêm backticks đến từ khóa, nó không thích hợp http: // meta. stackexchange.com/questions/135112/inline-code-spans-should-not-be-used-for-emphasis-right – Luksprog
Ý của bạn là gì? Tôi không thấy làm thế nào bất cứ điều gì trong câu hỏi này là không thích hợp? – sameer54321
Nhận xét của tôi không dành cho bạn (và câu hỏi của bạn là ok), nó đã được gửi đến một người dùng khác đã thực hiện chỉnh sửa không phù hợp cho câu hỏi của bạn. – Luksprog