最近微信支付暴露的XXE攻击问题，nodejs是否有受影响，如何防范

微信支付商户，最近暴露的XML外部实体注入漏洞(XML External Entity Injection，简称 XXE)，该安全问题是由XML组件默认没有禁用外部实体引用导致，非微信支付系统存在漏洞。

如果你在使用支付业务回调通知中，存在以下场景有使用XML解析的情况，请务必检查是否对进行了防范。从网上搜不到nodejs是否受到影响，以及如何防范

jinjianhua727 1楼•6 年前作者

RooQs 2楼•6 年前

我也查了查，没查到 From Noder

RooQs 3楼•6 年前

@jinjianhua727 有答案告诉我啊 From Noder

hlj2722 4楼•6 年前

不使用官方库就好了

Vinlic 5楼•6 年前

不影响，只要别用官方提供的SDK自己做好xml标签过滤和实体转换就好

RooQs 6楼•6 年前

@Vinlic xml解析有没有安全的库啊 From Noder