Názor k článku Zpracování XML v Pythonu s využitím knihovny lxml od Vláďa Smitka - Pěkný komplexní článek, ale chybí mi tam bezpečnostní...
-
Pěkný komplexní článek, ale chybí mi tam bezpečnostní hledisko. Pokud někdo použije uvedené příklady parsování XML, tak si do aplikace může zavést nepříjemnou zranitelnost XXE - XML External Entity Processing (už jsem o tom mluvil: https://www.slideshare.net/vsmitka/drobn-chyby-kter-vm-mohou-zlomit-vaz/19).
Myslím, že nejjednodušší by bylo místo "čistého" lxml použvat wrapper https://pypi.org/project/defusedxml/.
Samozřejmě to lze řešit i nastavením parseru, ale to se pak musí všude ohlídat:
parser = ET.XMLParser(resolve_entities=False)
tree = ET.parse(xml, parser)
ČLÁNKY DO MAILU