Názory k článku Zpracování XML v Pythonu s využitím knihovny lxml

Pěkný komplexní článek, ale chybí mi tam bezpečnostní hledisko. Pokud někdo použije uvedené příklady parsování XML, tak si do aplikace může zavést nepříjemnou zranitelnost XXE - XML External Entity Processing (už jsem o tom mluvil: https://www.slideshare.net/vsmitka/drobn-chyby-kter-vm-mohou-zlomit-vaz/19).

Myslím, že nejjednodušší by bylo místo "čistého" lxml použvat wrapper https://pypi.org/project/defusedxml/.

Samozřejmě to lze řešit i nastavením parseru, ale to se pak musí všude ohlídat:

parser = ET.XMLParser(re­solve_entities=Fal­se)
tree = ET.parse(xml, parser)

To je pravda, mockrát děkuji za doplnění.

nejlepší odpověď dostanete, když zkusíte rozparsovat ten konkretní soubor.

v příštím článku o Beautiful Soup byste se mohl zmínit i o html-requests, který staví na pyppeteer (python rozhraní pro headless chrome). U stránek tahajících data ajaxem je to nejpřímočařejší způsob získání html. Je to nový projekt, zatím asi ne úplně stabilní.

requests-html je správný název.

Podívám se na to a moc děkuji za informaci. O requests-html jsem nevěděl, používáme tady Beautiful Soup (ten název si někdo zkracuje, to vůbec není pěkné :-)

Ha, tak to se omlouvám za chvilku překvapení :-) I proto se záměrně snažím psát anglické termity kurzívou. Zrovna tady je to dobře matoucí.

Ale ne, to zkazil redakční systém tady na Rootu :(
Moc se omlouvám, on je tam samozřejmě dvojí quotování a evidentně to nezvládá.
Správné verze jsou na Gitu:

https://github.com/tisnik/lxml-examples/blob/master/test2.xml
https://github.com/tisnik/lxml-examples/blob/master/test3.xml

Díky za upozornění a popravdě nevím, jak to v redakčním systému opravit. Nicméně zkusím.