Prima di tutto scusa se ti faccio una domanda banale.
Per quanto ne so, XML è usato per rappresentare strutture di documenti. È possibile che siti completamente statici che non accettano input utente siano vulnerabili agli attacchi XML, DTD e di entità?
Se succede, in quale contesto è possibile?
Quindi XXE è solitamente visto in aree di un sito che accettano l'input dell'utente. Se per sito statico si intende un sito che risponde prettamente alle richieste HTTP GET per i documenti ospitati su un server, quindi non c'è davvero alcun luogo in cui si verifichi XXE.
L'unico scenario che potrei pensare sarebbe se il sito elaborasse una sezione dell'URL o delle intestazioni HTTP e lo includesse come entità in una richiesta a un servizio Web XML, ma a quel punto il tuo sito non è realmente statica!
Gli attacchi XXE riguardano l'elaborazione di input XML dannosi da parte dell'utente, quindi un sito statico non può essere vulnerabile.