答案:禁用DTD和外部实体处理可防止XXE攻击,推荐使用XmlReaderSettings设置DtdProcessing.Prohibit、XmlResolver为null并启用CloseInput,结合输入验证与安全解析方法有效防御XXE。
在 C# 中解析 XML 时,如果不正确配置,可能会受到 外部实体注入(XXE, XML External Entity Injection) 攻击。这种攻击利用 XML 解析器加载恶意定义的外部实体,可能导致敏感文件泄露、拒绝服务或服务器端请求伪造(SSRF)。为了安全地解析 XML,必须禁用外部实体处理和 DTD 处理。
禁用 DTD 和外部实体解析
使用 XmlReader 是最推荐的方式,因为它允许精细控制解析行为。关键是要设置 XmlReaderSettings 来关闭危险功能:
- 将
DtdProcessing设置为Prohibit或Ignore - 将
XmlResolver设置为null以阻止外部资源加载 - 启用
CloseInput防止资源泄漏
示例代码:
using System.Xml;string xmlInput = "Hello";
var settings = new XmlReaderSettings { DtdProcessing = DtdProcessing.Prohibit, XmlResolver = null, CloseInput = true };
using (var reader = XmlReader.Create(new StringReader(xmlInput), settings)) { var doc = new XmlDocument(); doc.Load(reader); // 安全地处理文档 }
避免使用不安全的解析方式
以下方式容易受 XXE 攻击,应避免直接使用:
-
XmlDocument.Load(string fileName):默认可能启用 DTD 处理 -
XElement.Parse():不支持设置安全选项 - 未配置安全选项的
XmlTextReader
如果必须使用 XmlDocument,请始终通过 XmlReader 包装输入:
var settings = new XmlReaderSettings
{
DtdProcessing = DtdProcessing.Prohibit,
XmlResolver = null
};
using (var reader = XmlReader.Create(new StringReader(xmlInput), settings))
{
var doc = new XmlDocument();
doc.Load(reader); // 安全加载
}
验证输入来源与内容类型
除了配置解析器,还应从应用层面加强防护:
- 只接受来自可信源的 XML 数据
- 验证请求的 Content-Type 是否为
application/xml或类似类型 - 对上传的 XML 文件进行白名单式校验
- 考虑使用更安全的数据格式如 JSON(如非必要不用 XML)
启用防御性配置的完整建议
生产环境中建议统一使用封装的安全解析方法:
public static XmlDocument SafeLoadXml(string xml)
{
var settings = new XmlReaderSettings
{
DtdProcessing = DtdProcessing.Prohibit,
MaxCharactersFromEntities = 1024,
MaxCharactersInDocument = 1_000_000,
XmlResolver = null,
CloseInput = true
};
using (var reader = XmlReader.Create(new StringReader(xml), settings))
{
var doc = new XmlDocument();
doc.Load(reader);
return doc;
}}
其中 MaxCharactersFromEntities 可防止膨胀攻击(Billion Laughs Attack)。
基本上就这些。只要确保 DTD 被禁止、XmlResolver 为空,并使用 XmlReader 配合严格设置,就能有效防止 XXE 攻击。
