这篇文章分析了 Ruby-SAML 库受 XML 签名包装攻击影响的原因,指出该漏洞源于 SAML 规范本身以及工程师对规范的过度信任。文章详细解释了 XML 签名包装攻击的原理,以及 SAML 协议如何受到影响。最后,文章建议开发者不要过度依赖规范,而是应该直接处理 SAML 有效负载,并验证预期的签名,以此来避免此类攻击。