Python的XML Processing Modules文档列出了其XML处理模块中的漏洞。我认为html5lib同样容易受到恶意输入的影响,因为它遵循HTML5规范(未知的漏洞除外),但我讨厌做出假设,我无法找到潜在安全问题的讨论。
那么我应该注意哪些安全问题?或者使用它来解析恶意构造的html是否安全?
答案 0 :(得分:2)
简短的回答是否定的(至少有人知道) - XML攻击利用了"功能" HTML中不存在的XML。 (从技术上讲,"减压炸弹"适用于几乎所有格式,并且不会真正攻击XML - 它们会对解压缩器造成攻击。)