【漏洞挖掘】——121、Xpath注入深入刨析

基本介绍

XPath即为XML路径语言，是W3C XSLT标准的主要元素，它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言。它是一种用来在内存中导航整个XML树的语言，它的设计初衷是作为一种面向XSLT和XPointer的语言，后来独立成了一种W3C标准，XPath基于XML的树状结构，有不同类型的节点，包括元素节点，属性节点和文本节点，提供在数据结构树中找寻节点的能力，可用来在XML文档中对元素和属性进行遍历，XPath使用路径表达式来选取XML文档中的节点或者节点集，这些路径表达式和我们在常规的电脑文件系统中看到的表达式非常相似

基础语法

节点概念

在XPath中XML文档被作为节点树对待，XPath中有七种结点类型：元素、属性、文本、命名空间、处理指令、注释以及文档节点(或称为根节点)，文档的根节点即是文档结点，对应属性有属性结点，元素有元素结点

• element(元素)
• attribute(属性)
• text(文本)
• namespace(命名空间)
• processing-instruction(处理指令)
• comment(注释)
• root(根节点)

例如：下面的XML文档：