XML上传必须严格校验登录态与upload_xml权限,禁用外部实体防御XXE,限制文件大小,使用UUID命名存私有目录,下载需权限代理。
上传接口必须校验登录态和角色权限
XML 文件上传不是普通静态资源上传,服务端必须在接收文件前完成双重校验:用户是否已登录、是否具备 upload_xml 类权限(如 ROLE_ADMIN 或自定义权限码)。跳过这步,攻击者可直接 POST 到上传路径绕过前端限制。
- 不要依赖前端隐藏上传按钮或 JS 校验——这些可被绕过
-
后端需在 Controller/Handler 入口处检查
SecurityContext(Spring)、request.user.is_authenticated(Django)或等效会话对象 - 建议用声明式权限控制,例如 Spring Security 的
@PreAuthorize("hasAuthority('XML_UPLOAD')"),而非手写 if 判断 - 若使用 token(JWT),须解析并验证
scope或roles字段包含对应权限,且 token 未过期、未被撤销
XML 解析前必须做内容白名单与结构约束
即使用户已授权,恶意 XML 仍可能触发 XXE、内存爆破或 DTD 递归攻击。权限控制不能替代输入净化。
- 禁用外部实体:Java 中设置
DocumentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);Pythondefusedxml库是必须项,不用xml.etree.ElementTree直接解析上传流 - 限制最大文件大小:Nginx 配置
client_max_body_size 2m,Spring Boot 设置spring.servlet.multipart.max-file-size=2MB,防止上传超大 XML 耗尽内存 - 校验根元素和命名空间:例如只允许
/code>、或未知命名空间的文档
上传路径与存储策略需隔离敏感上下文
授权 ≠ 任意写入。上传后的 XML 不应放在 Web 可直访路径,也不该用用户可控的文件名落地。
- 禁止将 XML 保存为
/uploads/{user_id}/{filename}.xml——filename可能含../../etc/passwd路径遍历 - 推荐做法:生成 UUID 作为存储文件名,保存到非 Webroot 的私有目录(如
/var/data/xml_uploads/),元数据(原始名、上传者、时间)存数据库 - 若需提供下载,必须走带权限校验的代理接口(如
GET /api/xml/download?id=abc123),而不是暴露真实文件路径 - 上传目录需关闭执行权限:
chmod 750 /var/data/xml_uploads,且运行 Web 服务的用户不应有 root 权限
// Python 示例:用 defusedxml 安全解析(Django 视图片段) from defusedxml.ElementTree import fromstring from django.http import HttpResponseForbiddendef upload_xml(request): if not request.user.has_perm('app.upload_xml'): return HttpResponseForbidden()
xml_file = request.FILES.get('file') if not xml_file or not xml_file.name.endswith('.xml'): return HttpResponseForbidden() try: # 限制读取前 2MB,防超大文件阻塞 content = xml_file.read(2 * 1024 * 1024) root = fromstring(content) # 自动防御 XXE except Exception as e: return HttpResponseForbidden(f'Invalid XML: {e}') # ……保存逻辑(UUID 命名 + 数据库存储元数据)权限控制的真正难点不在“谁能点按钮”,而在于“谁的数据能进解析器、进磁盘、进后续业务流程”。每个环节的校验都可能被单独绕过,漏掉任意一环,授权就形同虚设。
