C# 如何安全地解析xml防止外部实体注入攻击-C#.Net教程-PHP中文网

C# 如何安全地解析xml防止外部实体注入攻击

幻夢星雲

发布： 2025-10-26 19:10:02

原创

885人浏览过

答案：禁用DTD和外部实体处理可防止XXE攻击，推荐使用XmlReaderSettings设置DtdProcessing.Prohibit、XmlResolver为null并启用CloseInput，结合输入验证与安全解析方法有效防御XXE。

c# 如何安全地解析xml防止外部实体注入攻击

在 C# 中解析 XML 时，如果不正确配置，可能会受到 外部实体注入（XXE, XML External Entity Injection） 攻击。这种攻击利用 XML 解析器加载恶意定义的外部实体，可能导致敏感文件泄露、拒绝服务或服务器端请求伪造（SSRF）。为了安全地解析 XML，必须禁用外部实体处理和 DTD 处理。

禁用 DTD 和外部实体解析

使用 XmlReader 是最推荐的方式，因为它允许精细控制解析行为。关键是要设置 XmlReaderSettings 来关闭危险功能：

将 DtdProcessing 设置为 Prohibit 或 Ignore
将 XmlResolver 设置为 null 以阻止外部资源加载
启用 CloseInput 防止资源泄漏

示例代码：

using System.Xml;
<p>string xmlInput = "<?xml version=\"1.0\"?><data>Hello</data>";</p><p>var settings = new XmlReaderSettings
{
DtdProcessing = DtdProcessing.Prohibit,
XmlResolver = null,
CloseInput = true
};</p><p>using (var reader = XmlReader.Create(new StringReader(xmlInput), settings))
{
var doc = new XmlDocument();
doc.Load(reader);
// 安全地处理文档
}

登录后复制

避免使用不安全的解析方式

以下方式容易受 XXE 攻击，应避免直接使用：

XmlDocument.Load(string fileName)：默认可能启用 DTD 处理
XElement.Parse()：不支持设置安全选项
未配置安全选项的 XmlTextReader

如果必须使用 XmlDocument，请始终通过 XmlReader 包装输入：

ViiTor实时翻译

AI实时多语言翻译专家！强大的语音识别、AR翻译功能。

116

查看详情

var settings = new XmlReaderSettings
{
    DtdProcessing = DtdProcessing.Prohibit,
    XmlResolver = null
};
<p>using (var reader = XmlReader.Create(new StringReader(xmlInput), settings))
{
var doc = new XmlDocument();
doc.Load(reader); // 安全加载
}

登录后复制

验证输入来源与内容类型

除了配置解析器，还应从应用层面加强防护：

只接受来自可信源的 XML 数据
验证请求的 Content-Type 是否为 application/xml 或类似类型
对上传的 XML 文件进行白名单式校验
考虑使用更安全的数据格式如 JSON（如非必要不用 XML）

启用防御性配置的完整建议

生产环境中建议统一使用封装的安全解析方法：

public static XmlDocument SafeLoadXml(string xml)
{
    var settings = new XmlReaderSettings
    {
        DtdProcessing = DtdProcessing.Prohibit,
        MaxCharactersFromEntities = 1024,
        MaxCharactersInDocument = 1_000_000,
        XmlResolver = null,
        CloseInput = true
    };
<pre class="brush:php;toolbar:false;"><pre class="brush:php;toolbar:false;">using (var reader = XmlReader.Create(new StringReader(xml), settings))
{
    var doc = new XmlDocument();
    doc.Load(reader);
    return doc;
}

登录后复制

}

其中 MaxCharactersFromEntities 可防止膨胀攻击（Billion Laughs Attack）。

基本上就这些。只要确保 DTD 被禁止、XmlResolver 为空，并使用 XmlReader 配合严格设置，就能有效防止 XXE 攻击。

以上就是C# 如何安全地解析xml防止外部实体注入攻击的详细内容，更多请关注php中文网其它相关文章！