AEP Feb 22 2013 at 22:20

Как сделать бомбу из XML

5 min

43K

XML*Information Security*

+75

Comments 10

endenis Feb 22 2013 at 22:27

Мне казалось, что W3C уже давно отказались от DTD в пользу XML Schema.

AEP Feb 22 2013 at 22:34

Согласен, валидация по схеме не имеет перечисленных недостатков, т.к. схема не является частью самого XML-документа. Но мало ли — вдруг хакер решит проверить, не забыли ли вы отключить валидацию входящих документов по DTD.

Weageoo Feb 22 2013 at 23:17

Я вообще только XML Schema использовал, про DTD даже не слышал.

pro100tak Feb 23 2013 at 03:07

Мда, разница в возрасте в 4 года, а какая пропасть…

Weageoo Feb 23 2013 at 10:41

Да просто кратер, гигантский и невосполнимый! Как теперь мне жить с этим…

Alukardd Feb 23 2013 at 22:51

Я не знаю что там у Вас в Минске, но в Питере, почти все универские лабы до сих пор живут на DTD.

s0rr0w Feb 22 2013 at 23:29

Они отказались от DTD в HTML, и не в пользу XML Schema, а просто отказались. Им было лень писать DTD, который, по моему мнению, несколько более читабельный, чем схема, особенно что касается наследования элементов.

odiszapc Feb 23 2013 at 16:46

Nokogiri и подобные либы, этому подвержены?

AEP Feb 23 2013 at 17:06

Не знаю, предлагаю проверить самостоятельно, пользуясь примерами из поста.

AEP Feb 23 2013 at 17:13

Посмотрел доку тут: nokogiri.org/Nokogiri/XML/ParseOptions.html — на вид это обычный binding к libxml2. Т.е. при включенной опции NOENT и выключенной опции NONET все бомбы, кроме первой, должны сработать. После обновления до версии libxml2 из git может перестать работать вторая бомба.