---恢复内容开始---
前言:
最近微信官方提出:微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。
提出当存在调用支付接口时,存在下列场景时,得做代码防范:
场景1:支付成功通知;
场景2:退款成功通知;
场景3:委托代扣签约、解约、扣款通知;
场景4:车主解约通知;
场景5:扫码支付模式一回调;
对于解决方案,官方提出,各不同开发语言,更新自己SDK
然后检查在XML中有没引入外部实体。不同开发语言分别是: