最近微信支付暴露的XXE攻击问题,nodejs是否有受影响,如何防范
发布于 6 年前 作者 jinjianhua727 4575 次浏览 来自 问答

微信公告和建议

微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。

如果你在使用支付业务回调通知中,存在以下场景有使用XML解析的情况,请务必检查是否对进行了防范。 从网上搜不到nodejs是否受到影响,以及如何防范

6 回复

我也查了查,没查到 From Noder

@jinjianhua727 有答案告诉我啊 From Noder

不使用官方库就好了

不影响,只要别用官方提供的SDK自己做好xml标签过滤和实体转换就好

@Vinlic xml解析有没有安全的库啊 From Noder

回到顶部