如何配置XML解析器禁用外部实体 防止XXE攻击

禁用外部实体引用可防止XXE攻击，需在Java（DOM/SAX/StAX）、.NET、Python、PHP及Node.js等各平台解析器中分别配置安全选项，如禁用DOCTYPE、关闭外部实体加载、启用安全处理模式等。

如果您在应用程序中使用XML解析器处理不受信任的XML输入，而未禁用外部实体引用，则可能遭受XML外部实体（XXE）攻击。以下是禁用外部实体以防止XXE攻击的多种配置方法：

一、Java DOM解析器配置

Java的DOM解析器默认允许加载外部实体，需显式设置相关属性来禁用该行为。通过DocumentBuilderFactory控制解析器的安全特性可有效阻止XXE。

1、创建DocumentBuilderFactory实例并设置为非验证模式。

2、调用setFeature方法禁用http://apache.org/xml/features/disallow-doctype-decl特性。

3、调用setFeature方法禁用http://xml.org/sax/features/external-general-entities和http://xml.org/sax/features/external-parameter-entities特性。

4、设置http://javax.xml.XMLConstants/feature/secure-processing为true以启用安全处理模式。

5、使用configureFactory获得DocumentBuilder并解析XML输入。

二、Java SAX解析器配置

SAX解析器通过XMLReader或SAXParser控制解析行为，必须在解析前关闭外部实体加载能力，否则将暴露于XXE风险。

1、获取SAXParserFactory实例并调用setFeature方法。

2、禁用http://xml.org/sax/features/external-general-entities特性。

3、禁用http://xml.org/sax/features/external-parameter-entities特性。

4、启用http://javax.xml.XMLConstants/feature/secure-processing特性。

5、使用SAXParser解析XML流时确保上述配置已生效。

三、Java StAX解析器配置

StAX解析器（如Woodstox或Sun's default）需通过XMLInputFactory设置安全属性，防止在事件驱动解析过程中加载外部DTD或实体。

1、调用XMLInputFactory.newInstance()获取工厂实例。

2、设置javax.xml.stream.isSupportingExternalEntities属性为false。

3、设置javax.xml.stream.supportDTD属性为false。

4、若使用Woodstox，额外设置com.ctc.wstx.prop.loadExternalDTD为false。

5、使用createXMLStreamReader创建解析器并传入受控输入源。

四、.NET XmlReader配置

.NET平台中的XmlReader默认启用DTD处理，需显式禁用外部实体解析以规避XXE漏洞。通过XmlReaderSettings对象集中管理安全策略。

1、新建XmlReaderSettings实例并设置DtdProcessing属性为DtdProcessing.Prohibit。

2、将XmlResolver属性设为null以阻止任何外部资源解析。

3、设置IgnoreComments、IgnoreProcessingInstructions和IgnoreWhitespace为true以减少攻击面。

4、启用MaxCharactersFromEntities限制实体展开深度。

5、使用XmlReader.Create方法配合该Settings实例创建安全解析器。

五、Python xml.etree.ElementTree配置

Python标准库中的ElementTree默认不解析DTD，但若与xmlparser配合使用或启用recover模式，仍可能触发外部实体加载。需强制隔离解析上下文。

1、避免使用xml.etree.ElementTree.parse()直接解析不可信输入。

2、改用xml.etree.ElementTree.XMLParser()并传入target=TreeBuilder()。

3、在构造XMLParser时指定resolve_entities=False参数。

4、对输入XML预处理，移除DOCTYPE声明及内部子集中的ENTITY定义。

5、使用defusedxml库替代标准xml模块，其defusedxml.ElementTree.parse()默认禁用全部外部实体。

六、PHP libxml配置

PHP的libxml扩展（如simplexml_load_string、DOMDocument）依赖底层libxml设置。必须在解析前全局或局部禁用外部实体加载功能。

1、调用libxml_disable_entity_loader(true)全局禁用实体加载。

2、若使用DOMDocument，设置$dom->loadXML($xml, LIBXML_NOENT | LIBXML_DTDLOAD)改为仅使用LIBXML_NOENT且不包含LIBXML_DTDLOAD。

3、调用libxml_set_external_entity_loader(null)清除自定义加载器。

4、对simplexml_load_string等函数，确保第二个参数未启用LICENSE_XML_DTD标志。

5、升级libxml至2.9.0以上版本，并确认编译时未启用--with-libxml以外的危险选项。

七、Node.js xmldom或xml2js配置

Node.js生态中常用xmldom或xml2js解析XML，二者均存在默认启用外部实体的风险，需通过选项或补丁方式关闭。

1、使用xmldom时，在创建DOMParser实例时传入{ forbidDTD: true, forbidEntity: true }选项。

2、若使用旧版xmldom，手动重写DOMImplementation.prototype.createDocument以拦截实体解析逻辑。

3、对于xml2js，设置options.explicitRoot = false并启用options.ignoreAttrs = true降低攻击可能性。

4、在xml2js中注入自定义attrValueProcessors，过滤含SYSTEM或PUBLIC关键字的实体声明。

5、优先选用@rgrove/sanitize-xml等专用防护库对输入进行预清洗，移除DOCTYPE及ENTITY节点。

# php  # python  # java  # js  # node.js  # node  # apache  # win  # stream  # xml解析  # .net 

相关文章： 音乐网站服务器如何优化API响应速度？  正规网站制作公司有哪些,目前国内哪家网页网站制作设计公司比较专业靠谱？口碑好？  如何快速上传建站程序避免常见错误？  广州商城建站系统开发成本与周期如何控制？  油猴 教程,油猴搜脚本为什么会网页无法显示？  成都网站制作报价公司,成都工业用气开户费用？  如何批量查询域名的建站时间记录？  如何通过VPS搭建网站快速盈利？  长春网站建设制作公司,长春的网络公司怎么样主要是能做网站的？  如何用好域名打造高点击率的自主建站？  手机钓鱼网站怎么制作视频,怎样拦截钓鱼网站。怎么办？  C#如何序列化对象为XML XmlSerializer用法  网站制作新手教程,新手建设一个网站需要注意些什么？  建站之星会员如何解锁更多建站功能？  全景视频制作网站有哪些,全景图怎么做成网页？  宝盒自助建站智能生成技巧：SEO优化与关键词设置指南  ,巨量百应是干嘛的？  如何用西部建站助手快速创建专业网站？  建站之星收费标准详解：套餐费用及年费价格表一览  建站主机系统SEO优化与智能配置核心关键词操作指南  如何通过虚拟主机快速搭建个人网站？  企业网站制作费用多少,企业网站空间一般需要多大，费用是多少？  香港服务器建站指南：免备案优势与SEO优化技巧全解析  小程序网站制作需要准备什么资料,如何制作小程序？  网站制作软件有哪些,制图软件有哪些？  如何用AWS免费套餐快速搭建高效网站？  建站之星如何助力网站排名飙升？揭秘高效技巧  矢量图网站制作软件,用千图网的一张矢量图做公司app首页，该网站并未说明版权等问题，这样做算不算侵权？应该如何解决？  网站app免费制作软件,能免费看各大网站视频的手机app？  哪家制作企业网站好,开办像阿里巴巴那样的网络公司和网站要怎么做？  如何在景安服务器上快速搭建个人网站？  如何快速生成凡客建站的专业级图册？  制作农业网站的软件,比较好的农业网站推荐一下？  学生网站制作软件,一个12岁的学生写小说，应该去什么样的网站？  如何在新浪SAE免费搭建个人博客？  清单制作人网站有哪些,近日“兴风作浪的姑奶奶”引起很多人的关注这是什么事情？  建站主机是什么？如何选择适合的建站主机？  内部网站制作流程,如何建立公司内部网站？  太原网站制作公司有哪些,网约车营运证查询官网？  如何在云服务器上快速搭建个人网站？  如何快速搭建高效简练网站？  儿童网站界面设计图片,中国少年儿童教育网站-怎么去注册？  如何挑选最适合建站的高性能VPS主机？  Swift开发中switch语句值绑定模式  制作假网页,招聘网的薪资待遇，会有靠谱的吗？一面试又各种折扣？  建站之星伪静态规则如何正确配置？  详解jQuery停止动画——stop()方法的使用  网站制作模板下载什么软件,ppt模板免费下载网站？  图片制作网站免费软件,有没有免费的网站或软件可以将图片批量转为A4大小的pdf？  如何正确选择百度移动适配建站域名？