什么是XML外部实体引用?如何防范XXE漏洞攻击

来源:建站技术作者:清原小日向头衔:网络博主
导读:本期聚焦于小伙伴创作的《什么是XML外部实体引用?如何防范XXE漏洞攻击》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《什么是XML外部实体引用?如何防范XXE漏洞攻击》有用,将其分享出去将是对创作者最好的鼓励。

XML外部实体引用是XML标准中定义的一种机制,允许XML文档通过声明外部实体来引用外部的文件、URL等资源,正常情况下可用于复用公共的XML片段,但如果XML解析器未对外部实体的加载做限制,就会被攻击者利用发起XXE攻击,造成敏感信息泄露、内网探测等安全问题。

什么是XML外部实体引用?如何防范XXE漏洞攻击

XML外部实体引用的基本语法

XML中通过<!ENTITY>声明来定义实体,外部实体的声明需要指定SYSTEM关键字并跟上外部资源的地址,基本语法如下:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
    <!ENTITY 实体名 SYSTEM "外部资源地址">
]>
<root>
    &实体名;
</root>

当解析器处理上述XML时,会先加载外部资源地址对应的内容,再将&实体名;替换为加载到的内容输出。

XXE漏洞的攻击场景示例

读取本地敏感文件

攻击者可以构造如下恶意XML,让服务器解析后返回/etc/passwd文件的内容:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
    <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<foo>
    &xxe;
</foo>

发起内网端口探测

如果服务器允许加载网络地址的外部实体,攻击者可以替换SYSTEM后的地址为内网IP和端口,根据返回结果判断内网服务是否存活:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
    <!ENTITY xxe SYSTEM "http://192.168.0.1:8080">
]>
<foo>
    &xxe;
</foo>

XML外部实体引用的防御方案

防范XXE漏洞的核心是限制XML解析器对外部实体的加载,不同语言的实现方式如下:

Java语言防御

Java中常用的XML解析器如DOM、SAX、StAX都可以通过设置属性禁用外部实体,以DOM解析为例:

import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.DocumentBuilder;
import org.w3c.dom.Document;

public class XxeDefense {
    public static void main(String[] args) throws Exception {
        DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
        // 禁用外部实体
        dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
        dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        DocumentBuilder db = dbf.newDocumentBuilder();
        // 解析XML输入流
        Document doc = db.parse(输入流对象);
    }
}

Python语言防御

Python的xml.etree.ElementTree模块默认不解析外部实体,若使用lxml库需要手动禁用:

from lxml import etree

def parse_xml(xml_content):
    parser = etree.XMLParser(resolve_entities=False, no_network=True)
    tree = etree.fromstring(xml_content, parser)
    return tree

通用防御原则

  • 尽量不使用XML格式传输数据,优先选择JSON等更安全的格式
  • 如果必须使用XML,禁用DOCTYPE声明,从根源上阻止外部实体定义
  • 对XML输入做严格的白名单校验,过滤掉<!ENTITY、SYSTEM等关键字
  • 服务器部署时限制XML解析进程的文件读取和网络访问权限,降低攻击影响范围

总结

XML外部实体引用本身是XML规范的正常功能,但缺乏限制的解析行为会直接导致XXE漏洞。开发者在开发涉及XML解析的功能时,需要主动对解析器做安全配置,同时结合输入校验和权限限制,才能有效避免该类安全问题。日常安全测试中也需要将XXE漏洞作为XML相关功能的必测项,及时排查潜在风险。

XML外部_entity_引用XXE漏洞XML解析安全防御修改时间:2026-07-10 13:00:34

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。