处理XML数据时,C#开发者必须警惕恶意输入引发的安全问题。未经验证或未正确配置的XML解析器容易受到XXE(XML外部实体注入)、 Billion Laughs 攻击、过长标签或递归嵌套等格式攻击。编写防御性代码的关键是禁用危险功能、限制资源消耗,并使用安全的解析配置。
禁用外部实体和DTD处理
外部实体是XXE攻击的主要载体。攻击者可利用
引用本地文件或远程资源,导致敏感信息泄露或拒绝服务。应彻底禁用DTD和外部实体解析。建议做法:
使用XmlReader并显式关闭 DTD 处理 设置
DtdProcessing为
Prohibit或
Ignore禁止加载外部资源
var settings = new XmlReaderSettings
{
DtdProcessing = DtdProcessing.Prohibit,
XmlResolver = null,
MaxCharactersFromEntities = 1024,
MaxCharactersInDocument = 1_000_000
};
using var reader = XmlReader.Create(stream, settings);
var doc = new XmlDocument();
doc.Load(reader); // 安全加载
防范Billion Laughs等膨胀攻击
此类攻击通过层层嵌套实体快速耗尽内存。即使禁用DTD,某些场景下仍需额外限制文本展开后的大小。
关键措施:
限制单个实体可扩展的最大字符数:MaxCharactersFromEntities限制整个文档最大长度:
MaxCharactersInDocument避免使用
InnerText直接读取大内容
这些设置能有效阻止因实体爆炸导致的内存溢出。
使用简单类型替代复杂对象反序列化
避免直接对不可信XML进行
XmlSerializer.Deserialize(),特别是反序列化到复杂类型时可能触发恶意代码执行或逻辑漏洞。
推荐方式:
优先使用XmlReader逐节点读取并手动映射字段 若必须反序列化,确保类型明确且无副作用构造函数 对输入先做白名单校验,如命名空间、根元素名称
if (reader.Name != "ExpectedRoot")
throw new SecurityException("无效的根元素");
统一使用UTF-8并处理编码声明
恶意编码声明可能引发解析器行为异常或绕过检测。强制使用安全编码并忽略输入中的编码提示。
做法:
在创建Stream时指定
UTF8Encoding(false, true)设置
CheckCharacters = true防止非法Unicode字符
var settings = new XmlReaderSettings
{
CheckCharacters = true,
// 其他安全设置...
};
基本上就这些。只要坚持最小权限原则——不解析不需要的功能、不限制资源、不信任输入——就能有效抵御大多数XML相关攻击。
