html5lib 是否容易受到恶意输入?
Is html5lib vunerable to malicious input?
Python 的 XML Processing Modules 文档列出了其 XML 处理模块中的漏洞。我认为 html5lib 不会同样容易受到恶意输入的攻击,因为它遵循 HTML5 规范(除了未知错误),但我讨厌做出假设,而且我找不到对潜在安全问题的讨论。
那么有什么我应该注意的安全问题吗?还是用它来解析恶意构造的html?
安全吗
简短的回答是否定的(至少任何人都知道)——XML 攻击利用了 XML 中的 "features",而 HTML 中不存在=]. (从技术上讲,"decompression bombs" 几乎适用于任何格式,并不是对 XML 的真正攻击——它们是对解压缩器的攻击。)
Python 的 XML Processing Modules 文档列出了其 XML 处理模块中的漏洞。我认为 html5lib 不会同样容易受到恶意输入的攻击,因为它遵循 HTML5 规范(除了未知错误),但我讨厌做出假设,而且我找不到对潜在安全问题的讨论。
那么有什么我应该注意的安全问题吗?还是用它来解析恶意构造的html?
安全吗简短的回答是否定的(至少任何人都知道)——XML 攻击利用了 XML 中的 "features",而 HTML 中不存在=]. (从技术上讲,"decompression bombs" 几乎适用于任何格式,并不是对 XML 的真正攻击——它们是对解压缩器的攻击。)