答案:禁用DTD和外部实体处理可防止XXE攻击,推荐使用XmlReaderSettings设置DtdProcessing.Prohibit、XmlResolver为null并启用CloseInput,结合输入验证与安全解析方法有效防御XXE。
在 C# 中解析 XML 时,如果不正确配置,可能会受到 外部实体注入(XXE, XML External Entity Injection) 攻击。这种攻击利用 XML 解析器加载恶意定义的外部实体,可能导致敏感文件泄露、拒绝服务或服务器端请求伪造(SSRF)。为了安全地解析 XML,必须禁用外部实体处理和 DTD 处理。
禁用 DTD 和外部实体解析
使用 XmlReader 是最推荐的方式,因为它允许精细控制解析行为。关键是要设置 XmlReaderSettings 来关闭危险功能:
将 DtdProcessing 设置为 Prohibit 或 Ignore将 XmlResolver 设置为 null 以阻止外部资源加载启用 CloseInput 防止资源泄漏
示例代码:
using System.Xml;string xmlInput = "Hello";
var settings = new XmlReaderSettings{DtdProcessing = DtdProcessing.Prohibit,XmlResolver = null,CloseInput = true};
using (var reader = XmlReader.Create(new StringReader(xmlInput), settings)){var doc = new XmlDocument();doc.Load(reader);// 安全地处理文档}
避免使用不安全的解析方式
以下方式容易受 XXE 攻击,应避免直接使用:
XmlDocument.Load(string fileName):默认可能启用 DTD 处理XElement.Parse():不支持设置安全选项未配置安全选项的 XmlTextReader
如果必须使用 XmlDocument,请始终通过 XmlReader 包装输入:
var settings = new XmlReaderSettings{ DtdProcessing = DtdProcessing.Prohibit, XmlResolver = null};using (var reader = XmlReader.Create(new StringReader(xmlInput), settings)){var doc = new XmlDocument();doc.Load(reader); // 安全加载}
验证输入来源与内容类型
除了配置解析器,还应从应用层面加强防护:
只接受来自可信源的 XML 数据验证请求的 Content-Type 是否为 application/xml 或类似类型对上传的 XML 文件进行白名单式校验考虑使用更安全的数据格式如 JSON(如非必要不用 XML)
启用防御性配置的完整建议
生产环境中建议统一使用封装的安全解析方法:
public static XmlDocument SafeLoadXml(string xml){ var settings = new XmlReaderSettings { DtdProcessing = DtdProcessing.Prohibit, MaxCharactersFromEntities = 1024, MaxCharactersInDocument = 1_000_000, XmlResolver = null, CloseInput = true };using (var reader = XmlReader.Create(new StringReader(xml), settings)){ var doc = new XmlDocument(); doc.Load(reader); return doc;}
}
其中 MaxCharactersFromEntities 可防止膨胀攻击(Billion Laughs Attack)。
基本上就这些。只要确保 DTD 被禁止、XmlResolver 为空,并使用 XmlReader 配合严格设置,就能有效防止 XXE 攻击。
以上就是C# 如何安全地解析xml防止外部实体注入攻击的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1440944.html
微信扫一扫 
支付宝扫一扫 
![Go语言接口与切片:如何识别和操作[]interface{}](https://cdn.chuangxiangniao.com/www/2025/12/176369856569294-1.jpg?imageMogr2/crop/480x300/gravity/center)
