答案:C#处理XML时需禁用DTD和外部实体,防止XXE及Billion Laughs攻击。1. 使用XmlReader并设置DtdProcessing.Prohibit、XmlResolver=null;2. 限制MaxCharactersFromEntities和MaxCharactersInDocument防内存溢出;3. 避免XmlSerializer反序列化不可信数据;4. 校验根元素、命名空间等输入内容;5. 强制UTF-8编码并启用CheckCharacters。坚持最小权限原则可有效防御常见XML攻击。
处理XML数据时,C#开发者必须警惕恶意输入引发的安全问题。未经验证或未正确配置的XML解析器容易受到XXE(XML外部实体注入)、 Billion Laughs 攻击、过长标签或递归嵌套等格式攻击。编写防御性代码的关键是禁用危险功能、限制资源消耗,并使用安全的解析配置。
禁用外部实体和DTD处理
外部实体是XXE攻击的主要载体。攻击者可利用引用本地文件或远程资源,导致敏感信息泄露或拒绝服务。应彻底禁用DTD和外部实体解析。
建议做法:
- 使用
XmlReader并显式关闭 DTD 处理 - 设置
DtdProcessing为Prohibit或Ignore - 禁止加载外部资源
var settings = new XmlReaderSettings
{
DtdProcessing = DtdProcessing.Prohibit,
XmlResolver = null,
MaxCharactersFromEntities = 1024,
MaxCharactersInDocument = 1_000_000
};
using var reader = XmlReader.Create(stream, settings);
var doc = new XmlDocument();
doc.Load(reader); // 安全加载
防范Billion Laughs等膨胀攻击
此类攻击通过层层嵌套实体快速耗尽内存。即使禁用DTD,某些场景下仍需额外限制文本展开后的大小。
关键措施:
- 限制单个实体可扩展的最大字符数:
MaxCharactersFromEntities - 限制整个文档最大长度:
MaxCharactersInDocument - 避免使用
InnerText直接读取大内容
这些设置能有效阻止因实体爆炸导致的内存溢出。
使用简单类型替代复杂对象反序列化
避免直接对不可信XML进行 XmlSerializer.Deserialize(),特别是反序列化到复杂类型时可能触发恶意代码执行或逻辑漏洞。
推荐方式:
- 优先使用
XmlReader逐节点读取并手动映射字段 - 若必须反序列化,确保类型明确且无副作用构造函数
- 对输入先做白名单校验,如命名空间、根元素名称
if (reader.Name != "ExpectedRoot")
throw new SecurityException("无效的根元素");
统一使用UTF-8并处理编码声明
恶意编码声明可能引发解析器行为异常或绕过检测。强制使用安全编码并忽略输入中的编码提示。
做法:
- 在创建
Stream时指定UTF8Encoding(false, true) - 设置
CheckCharacters = true防止非法Unicode字符
var settings = new XmlReaderSettings
{
CheckCharacters = true,
// 其他安全设置...
};
基本上就这些。只要坚持最小权限原则——不解析不需要的功能、不限制资源、不信任输入——就能有效抵御大多数XML相关攻击。
