编写防御性C# XML解析代码 预防常见的注入和格式攻击

处理XML数据时，C#开发者必须警惕恶意输入引发的安全问题。未经验证或未正确配置的XML解析器容易受到XXE（XML外部实体注入）、 Billion Laughs 攻击、过长标签或递归嵌套等格式攻击。编写防御性代码的关键是禁用危险功能、限制资源消耗，并使用安全的解析配置。

禁用外部实体和DTD处理

外部实体是XXE攻击的主要载体。攻击者可利用<!ENTITY>引用本地文件或远程资源，导致敏感信息泄露或拒绝服务。应彻底禁用DTD和外部实体解析。

建议做法：

• 使用 XmlReader 并显式关闭 DTD 处理
• 设置 DtdProcessing 为 Prohibit 或 Ignore
• 禁止加载外部资源

var settings = new XmlReaderSettings
{
    DtdProcessing = DtdProcessing.Prohibit,
    XmlResolver = null,
    MaxCharactersFromEntities = 1024,
    MaxCharactersInDocument = 1_000_000
};

using var reader = XmlReader.Create(stream, settings);
var doc = new XmlDocument();
doc.Load(reader); // 安全加载

防范Billion Laughs等膨胀攻击

此类攻击通过层层嵌套实体快速耗尽内存。即使禁用DTD，某些场景下仍需额外限制文本展开后的大小。

关键措施：

• 限制单个实体可扩展的最大字符数：MaxCharactersFromEntities
• 限制整个文档最大长度：MaxCharactersInDocument
• 避免使用 InnerText 直接读取大内容

这些设置能有效阻止因实体爆炸导致的内存溢出。

博思AIPPT

博思AIPPT来了，海量PPT模板任选，零基础也能快速用AI制作PPT。

117

查看详情

使用简单类型替代复杂对象反序列化

避免直接对不可信XML进行 XmlSerializer.Deserialize()，特别是反序列化到复杂类型时可能触发恶意代码执行或逻辑漏洞。

推荐方式：

• 优先使用 XmlReader 逐节点读取并手动映射字段
• 若必须反序列化，确保类型明确且无副作用构造函数
• 对输入先做白名单校验，如命名空间、根元素名称

if (reader.Name != "ExpectedRoot")
    throw new SecurityException("无效的根元素");

统一使用UTF-8并处理编码声明

恶意编码声明可能引发解析器行为异常或绕过检测。强制使用安全编码并忽略输入中的编码提示。

做法：

• 在创建 Stream 时指定 UTF8Encoding(false, true)
• 设置 CheckCharacters = true 防止非法Unicode字符

var settings = new XmlReaderSettings
{
    CheckCharacters = true,
    // 其他安全设置...
};

基本上就这些。只要坚持最小权限原则——不解析不需要的功能、不限制资源、不信任输入——就能有效抵御大多数XML相关攻击。