谢谢
答案 0 :(得分:3)
请参阅:http://www.ethicalhacker.net/content/view/185/24/
所有注入攻击(包括html / javascript注入,sql注入,hql注入)几乎都遵循相同的原则 - 基本上在你将用户输入连接到命令文本的任何地方,你都有可能发生注入攻击。
除了验证上面文章中提到的输入之外,另一种方法(可能首选,因为它可以安全地允许使用任何字符)将在xpath中使用之前对任何用户输入进行编码。
<强>更新强> 至少有一些Xpath库提供声明变量,以允许安全地评估用户为xpath表达式提供的输入。
请参阅: