在 C# 中解析 XML 时,如果不正确配置,可能会受到 外部实体注入(XXE, XML External Entity Injection) 攻击。这种攻击利用 XML 解析器加载恶意定义的外部实体,可能导致敏感文件泄露、拒绝服务或服务器端请求伪造(SSRF)。为了安全地解析 XML,必须禁用外部实体处理和 DTD 处理。
禁用 DTD 和外部实体解析
使用 XmlReader 是最推荐的方式,因为它允许精细控制解析行为。关键是要设置
XmlReaderSettings来关闭危险功能: 将
DtdProcessing设置为
Prohibit或
Ignore将
XmlResolver设置为
null以阻止外部资源加载 启用
CloseInput防止资源泄漏
示例代码:
using System.Xml;
<p>string xmlInput = "<?xml version=\"1.0\"?><data>Hello</data>";</p><p>var settings = new XmlReaderSettings
{
DtdProcessing = DtdProcessing.Prohibit,
XmlResolver = null,
CloseInput = true
};</p><p>using (var reader = XmlReader.Create(new StringReader(xmlInput), settings))
{
var doc = new XmlDocument();
doc.Load(reader);
// 安全地处理文档
}
</p>避免使用不安全的解析方式
以下方式容易受 XXE 攻击,应避免直接使用:
XmlDocument.Load(string fileName):默认可能启用 DTD 处理
XElement.Parse():不支持设置安全选项 未配置安全选项的
XmlTextReader
如果必须使用
XmlDocument,请始终通过
XmlReader包装输入:
var settings = new XmlReaderSettings
{
DtdProcessing = DtdProcessing.Prohibit,
XmlResolver = null
};
<p>using (var reader = XmlReader.Create(new StringReader(xmlInput), settings))
{
var doc = new XmlDocument();
doc.Load(reader); // 安全加载
}
</p>验证输入来源与内容类型
除了配置解析器,还应从应用层面加强防护:
只接受来自可信源的 XML 数据 验证请求的 Content-Type 是否为application/xml或类似类型 对上传的 XML 文件进行白名单式校验 考虑使用更安全的数据格式如 JSON(如非必要不用 XML)
启用防御性配置的完整建议
生产环境中建议统一使用封装的安全解析方法:
public static XmlDocument SafeLoadXml(string xml)
{
var settings = new XmlReaderSettings
{
DtdProcessing = DtdProcessing.Prohibit,
MaxCharactersFromEntities = 1024,
MaxCharactersInDocument = 1_000_000,
XmlResolver = null,
CloseInput = true
};
<pre class="brush:php;toolbar:false;">using (var reader = XmlReader.Create(new StringReader(xml), settings))
{
var doc = new XmlDocument();
doc.Load(reader);
return doc;
}}
其中
MaxCharactersFromEntities可防止膨胀攻击(Billion Laughs Attack)。
基本上就这些。只要确保 DTD 被禁止、XmlResolver 为空,并使用 XmlReader 配合严格设置,就能有效防止 XXE 攻击。
