XXE漏洞指攻击者通过注入恶意XML实体内容，诱使服务器解析执行。当服务端未对用户提交的XML数据做严格过滤时，可能引发安全问题。PHP中libxml≥2.9.0版本默认禁用外部实体解析，但案例中通过LIBXML_NOENT参数主动开启该功能。漏洞利用方式包括：1）通过file协议读取本地文件；2）使用php伪协议配合base64编码获取文件内容。检测时可通过构造包含外部实体引用的XML数据（如引

URL重定向漏洞允许攻击者利用可信域名引导用户跳转至钓鱼网站。示例代码显示前端将未经验证的用户输入URL直接通过header函数跳转，如url=http://www.baidu.com即可实现任意重定向。防护措施包括：避免直接使用用户提供的URL、实施白名单验证、域名校验、服务器端验证、使用相对路径、添加跳转确认页面及签名验证，以防止恶意重定向攻击。（149字）

本文介绍了SSRF（服务请求伪造）漏洞的原理及利用方式。当服务端未严格过滤目标地址时，攻击者可通过file、http、dict等协议访问本地文件或扫描端口。文章演示了使用curl和file_get_contents函数实现SSRF攻击的方法，包括利用file协议读取本地文件、http协议访问外部网站、dict协议探测端口状态，以及通过php伪协议查看源代码。这些攻击方式展示了SSRF漏洞的严重性，

本文介绍了九种常见的XSS攻击方式及防护方法。主要包括：1）反射型XSS（get/post）通过输入恶意脚本实现弹窗；2）存储型XSS将恶意代码存入数据库；3）DOM型XSS利用客户端DOM树修改；4）XSS盲打在后台实现攻击；5）XSS过滤的绕过方法（大小写、标签等）；6）htmlspecialchars函数的转义特性及利用；7）href属性输出的JavaScript协议攻击；8）js输出的闭合