外部实体引用是通过在DOCTYPE中声明SYSTEM实体并引用其名称,将外部XML文件内容嵌入当前文档的机制。例如后使用&header;插入内容。该方法提升复用性但存在安全风险,如XXE攻击,因此许多解析器默认禁用。替代方案包括手动合并或使用XInclude。
在XML文档中包含另一个XML文件,可以通过外部实体引用实现。这种方式允许你将一个XML文件的内容嵌入到当前文档中,提升内容复用性和维护效率。
什么是外部实体引用
XML实体用于定义可重用的内容片段。外部实体指向文档之外的资源。通过声明外部实体并在文档中引用它,可以将另一个XML文件的内容引入当前文档。
外部实体分为两类:普通外部实体和参数实体(主要用于DTD内部)。我们这里关注普通外部实体。
如何声明和使用外部实体
要在XML中包含外部文件,需在文档类型定义(DOCTYPE)中声明外部实体,然后在文档内容中引用它。
基本语法如下:
- 在DOCTYPE中声明外部实体:
- 在文档中使用:
&实体名;
示例:假设有一个外部XML文件header.xml,内容为:
这是头部信息
主XML文件可以这样引用它:
]>&header; 正文内容
解析时,&header;会被替换为header.xml中的内容。
注意事项与安全问题
虽然外部实体功能强大,但使用时需注意以下几点:
- 并非所有XML解析器默认启用外部实体解析。例如,许多现代解析器出于安全考虑禁用外部实体(防止XXE攻击)。
- 文件路径可以是相对路径或绝对路径,也可以是URL(如
SYSTEM "http://example.com/data.xml"),但网络请求可能受限制。 - 确保被包含的文件内容是良构的XML片段,否则会导致解析错误。
- 避免在不可信环境中使用外部实体,尤其是处理用户输入的XML时,应关闭外部实体解析。
替代方案
如果因安全策略无法使用外部实体,可考虑以下方式:
- 在应用层手动读取并合并XML文件。
- 使用XInclude机制(需支持XInclude的解析器):
声明命名空间xmlns:xi="http://www.w3.org/2001/XInclude",然后使用
基本上就这些。外部实体引用是一种原生XML机制,适合在可控环境中复用内容,但要小心安全风险。
