由于xpath注入攻击正在攻击网站,因此我们需要保护xml文档,因为xpath查询的解决方案参数化已经存在。如果有人能解释xpath查询的参数化意味着什么,请帮忙吗?以及此参数化如何帮助防止xpath注入攻击?以及为什么需要加密这些参数?
答案 0 :(得分:2)
参数化意味着不是通过字符串连接构建XPath表达式
"//x[y = '" + param + "']"
使用参数
构建它"//x[y = $param]"
并在执行表达式时为参数$ param提供值。提供参数值的方式取决于您使用的XPath API,并且可能无法使用所有API(例如DOM selectNodes()方法)。