XML实体是XML中用于代表特殊字符、重复文本或外部内容的命名占位符,通过<!ENTITY>声明和&name;引用实现替换。
XML实体到底是什么
XML实体是XML中用来代表特殊字符、重复文本或外部内容的命名占位符。它不是变量,也不是宏,而是一种声明—引用机制:先用<!ENTITY>声明一个名字,之后在文档里用&name;引用,XML解析器会自动替换为对应值。
如何定义和使用内部实体(常用字符快捷方式)
内部实体适合定义文档内高频出现的字符串,比如版权符号、公司名、路径前缀等。必须在DTD中声明,且只能在<!DOCTYPE>内部(或外部DTD中)。
常见错误现象:Reference to undeclared entity——没声明就直接用©;或者把实体声明写在根元素之后,导致解析失败。
- 声明语法:
<!ENTITY entity_name "replacement_text"> - 引用方式:
&entity_name;(注意开头是&,不是&) - 实体名必须以字母或下划线开头,不能含空格或特殊符号
- 字符串中若含
",需改用'定界,或用"转义
<!DOCTYPE note [ <!ENTITY copyright "© 2024 Acme Corp."> <!ENTITY company "Acme & Co."> <!ENTITY path "/var/log/app/"> ]> <note> <footer>©right; — &company; logs at &path;</footer> </note>
为什么©这类预定义实体不能自定义覆盖
XML本身只预定义了5个实体:& <code>> ' "。它们是解析器硬编码支持的,不依赖DTD声明。你无法用<!ENTITY copy "©">去“重定义”©——这个名称不会被识别,除非你显式声明并用©引用它(此时它就是你自己的实体,跟HTML里的©无关)。
容易踩的坑:
- 误以为
©在XML里天然可用(实际不可,必须自己声明) - 在没有DTD的XML文档中尝试用自定义实体(会报错,因为无处声明)
- 把实体值设为空字符串或仅空白符——部分解析器可能拒绝或行为不一致
外部实体与安全风险(简要提醒)
用<!ENTITY % name SYSTEM "url">可引入外部文件,但现代XML解析器默认禁用外部实体(XXE),因为极易引发读取本地文件、端口探测等漏洞。日常定义“快捷字符”完全不需要外部实体,坚持用内部实体即可。
真正容易被忽略的一点:即使你只用内部实体,如果XML被交给一个未关闭外部实体的旧版解析器(如某些Java SAX老配置),且文档中意外混入SYSTEM声明,风险仍存在。所以——不声明外部实体,是最稳妥的“快捷方式”实践。
