如何配置XML解析器禁用外部实体 防止XXE攻击

禁用外部实体引用可防止XXE攻击，需在Java（DOM/SAX/StAX）、.NET、Python、PHP及Node.js等各平台解析器中分别配置安全选项，如禁用DOCTYPE、关闭外部实体加载、启用安全处理模式等。

如果您在应用程序中使用XML解析器处理不受信任的XML输入，而未禁用外部实体引用，则可能遭受XML外部实体（XXE）攻击。以下是禁用外部实体以防止XXE攻击的多种配置方法：

一、Java DOM解析器配置

Java的DOM解析器默认允许加载外部实体，需显式设置相关属性来禁用该行为。通过DocumentBuilderFactory控制解析器的安全特性可有效阻止XXE。

1、创建DocumentBuilderFactory实例并设置为非验证模式。

2、调用setFeature方法禁用http://apache.org/xml/features/disallow-doctype-decl特性。

3、调用setFeature方法禁用http://xml.org/sax/features/external-general-entities和http://xml.org/sax/features/external-parameter-entities特性。

4、设置http://javax.xml.XMLConstants/feature/secure-processing为true以启用安全处理模式。

5、使用configureFactory获得DocumentBuilder并解析XML输入。

二、Java SAX解析器配置

SAX解析器通过XMLReader或SAXParser控制解析行为，必须在解析前关闭外部实体加载能力，否则将暴露于XXE风险。

1、获取SAXParserFactory实例并调用setFeature方法。

2、禁用http://xml.org/sax/features/external-general-entities特性。

3、禁用http://xml.org/sax/features/external-parameter-entities特性。

4、启用http://javax.xml.XMLConstants/feature/secure-processing特性。

5、使用SAXParser解析XML流时确保上述配置已生效。

三、Java StAX解析器配置

StAX解析器（如Woodstox或Sun's default）需通过XMLInputFactory设置安全属性，防止在事件驱动解析过程中加载外部DTD或实体。

1、调用XMLInputFactory.newInstance()获取工厂实例。

2、设置javax.xml.stream.isSupportingExternalEntities属性为false。

3、设置javax.xml.stream.supportDTD属性为false。

4、若使用Woodstox，额外设置com.ctc.wstx.prop.loadExternalDTD为false。

5、使用createXMLStreamReader创建解析器并传入受控输入源。

四、.NET XmlReader配置

.NET平台中的XmlReader默认启用DTD处理，需显式禁用外部实体解析以规避XXE漏洞。通过XmlReaderSettings对象集中管理安全策略。

1、新建XmlReaderSettings实例并设置DtdProcessing属性为DtdProcessing.Prohibit。

2、将XmlResolver属性设为null以阻止任何外部资源解析。

3、设置IgnoreComments、IgnoreProcessingInstructions和IgnoreWhitespace为true以减少攻击面。

4、启用MaxCharactersFromEntities限制实体展开深度。

5、使用XmlReader.Create方法配合该Settings实例创建安全解析器。

五、Python xml.etree.ElementTree配置

Python标准库中的ElementTree默认不解析DTD，但若与xmlparser配合使用或启用recover模式，仍可能触发外部实体加载。需强制隔离解析上下文。

1、避免使用xml.etree.ElementTree.parse()直接解析不可信输入。

2、改用xml.etree.ElementTree.XMLParser()并传入target=TreeBuilder()。

3、在构造XMLParser时指定resolve_entities=False参数。

4、对输入XML预处理，移除DOCTYPE声明及内部子集中的ENTITY定义。

5、使用defusedxml库替代标准xml模块，其defusedxml.ElementTree.parse()默认禁用全部外部实体。

六、PHP libxml配置

PHP的libxml扩展（如simplexml_load_string、DOMDocument）依赖底层libxml设置。必须在解析前全局或局部禁用外部实体加载功能。

1、调用libxml_disable_entity_loader(true)全局禁用实体加载。

2、若使用DOMDocument，设置$dom->loadXML($xml, LIBXML_NOENT | LIBXML_DTDLOAD)改为仅使用LIBXML_NOENT且不包含LIBXML_DTDLOAD。

3、调用libxml_set_external_entity_loader(null)清除自定义加载器。

4、对simplexml_load_string等函数，确保第二个参数未启用LICENSE_XML_DTD标志。

5、升级libxml至2.9.0以上版本，并确认编译时未启用--with-libxml以外的危险选项。

七、Node.js xmldom或xml2js配置

Node.js生态中常用xmldom或xml2js解析XML，二者均存在默认启用外部实体的风险，需通过选项或补丁方式关闭。

1、使用xmldom时，在创建DOMParser实例时传入{ forbidDTD: true, forbidEntity: true }选项。

2、若使用旧版xmldom，手动重写DOMImplementation.prototype.createDocument以拦截实体解析逻辑。

3、对于xml2js，设置options.explicitRoot = false并启用options.ignoreAttrs = true降低攻击可能性。

4、在xml2js中注入自定义attrValueProcessors，过滤含SYSTEM或PUBLIC关键字的实体声明。

5、优先选用@rgrove/sanitize-xml等专用防护库对输入进行预清洗，移除DOCTYPE及ENTITY节点。

# php  # python  # java  # js  # node.js  # node  # apache  # win  # stream  # xml解析  # .net 

相关文章： 昆明网站制作哪家好,昆明公租房申请网上登录入口？  教育培训网站制作流程,请问edu教育网站的域名怎么申请？  香港服务器网站测试全流程：性能评估、SEO加载与移动适配优化  青浦网站制作公司有哪些,苹果官网发货地是哪里？  公司网站制作需要多少钱,找人做公司网站需要多少钱？  如何在IIS管理器中快速创建并配置网站？  如何高效配置香港服务器实现快速建站？  定制建站流程步骤详解：一站式方案设计与开发指南  建站之星代理如何获取技术支持？  专业商城网站制作公司有哪些,pi商城官网是哪个？  简历在线制作网站免费版,如何创建个人简历？  已有域名和空间，如何快速搭建网站？  无锡制作网站公司有哪些,无锡优八网络科技有限公司介绍？  北京建设网站制作公司,北京古代建筑博物馆预约官网？  如何快速上传建站程序避免常见错误？  如何在阿里云香港服务器快速搭建网站？  已有域名能否直接搭建网站？  如何快速生成ASP一键建站模板并优化安全性？  定制建站策划方案_专业建站与网站建设方案一站式指南  c# await 一个已经完成的Task会发生什么  东莞专业网站制作公司有哪些,东莞招聘网站哪个好？  建站之星×万网：智能建站系统+自助建站平台一键生成  昆明高端网站制作公司,昆明公租房申请网上登录入口？  表情包在线制作网站免费,表情包怎么弄？  ,想在网上投简历，哪几个网站比较好？  linux top下的 minerd 木马清除方法  如何快速搭建安全的FTP站点？  如何做静态网页,sublimetext3.0制作静态网页？  网站专业制作公司有哪些,做一个公司网站要多少钱？  实例解析angularjs的filter过滤器  天河区网站制作公司,广州天河区如何办理身份证？需要什么资料有预约的网站吗？  如何快速启动建站代理加盟业务？  建站之星后台搭建步骤解析：模板选择与产品管理实操指南  C++用Dijkstra(迪杰斯特拉)算法求最短路径  如何选择高效可靠的多用户建站源码资源？  深入理解Android中的xmlns:tools属性  建设网站制作价格,怎样建立自己的公司网站？  如何快速生成专业多端适配建站电话？  如何通过建站之星自助学习解决操作问题？  浙江网站制作公司有哪些,浙江栢塑信息技术有限公司定制网站做的怎么样？  海南网站制作公司有哪些,海口网是哪家的？  如何快速搭建高效WAP手机网站吸引移动用户？  建站之星伪静态规则如何正确配置？  Avalonia如何实现跨窗口通信 Avalonia窗口间数据传递  如何在IIS中新建站点并配置端口与IP地址？  建站之星伪静态规则如何设置？  高性价比服务器租赁——企业级配置与24小时运维服务  专业的网站制作设计是什么,如何制作一个企业网站，建设网站的基本步骤有哪些？  如何配置支付宝与微信支付功能？  制作证书网站有哪些,全国城建培训中心证书查询官网？