可疑的 xml.etree 用法 (S320)

源自 flake8-bandit linter。

警告：此规则已被移除，其文档仅供历史参考。

已移除

此规则已被移除，因为 lxml 库已被修改以解决已知的漏洞和不安全的默认设置。因此，不再需要 defusedxml 库，而且 defusedxml 也已弃用其 lxml 模块。

作用

检查不安全的 XML 解析器的使用。

为什么这不好？

许多 XML 解析器容易受到 XML 攻击（例如实体扩展）的攻击，这些攻击通过利用递归导致过多的内存和 CPU 使用。攻击者可以使用此类方法访问未经授权的资源。

在预览版中，此规则还将标记对不安全的 XML 解析器的引用。

示例

from lxml import etree

content = etree.parse("untrusted.xml")

参考

• PyPI：lxml
• 常见弱点枚举：CWE-400
• 常见弱点枚举：CWE-776