答案：禁用DTD和外部实体解析可有效防御XXE攻击。通过配置DocumentBuilderFactory、SAXParserFactory、StAX等解析器，关闭DOCTYPE声明和外部实体加载，使用XSD校验、限制输入大小，并对Jackson、Xstream等第三方库设置安全策略，结合输入验证与白名单机制，能全面防止文件读取、SSRF和拒绝服务风险。

在java应用中处理xml数据时，如果不正确配置解析器，攻击者可能利用外部实体注入（XXE）漏洞读取服务器文件、发起SSRF攻击或造成拒绝服务。防止XXE的关键在于禁用外部实体和DTD解析。以下是具体防护措施。

禁用DTD和外部实体解析

大多数XXE攻击依赖于DTD（文档类型定义）的解析功能。通过关闭DTD支持，可从根本上阻止攻击。

以DocumentBuilderFactory为例：

DocumentBuilderFactory factory = DocumentBuilderFactory.newinstance();
// 禁用DTD加载
factory.setFeature(“http://apache.org/xml/features/disallow-doctype-decl”, true);
// 防止外部实体
factory.setFeature(“http://xml.org/sax/features/external-general-entities”, false);
factory.setFeature(“http://xml.org/sax/features/external-parameter-entities”, false);
// 不允许使用DTD
factory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
DocumentBuilder builder = factory.newDocumentBuilder();

使用安全的xml解析方式

避免使用默认开启DTD解析的API。推荐使用轻量且默认更安全的解析方式。

立即进入“豆包AI人工智官网入口”；

立即学习“豆包AI人工智能在线问答入口”；

• SAXParserFactory：与DocumentBuilderFactory类似，需显式关闭外部实体
• StAX（XMLinputFactory）：流式解析，性能好，但仍需设置安全特性
• JAXB：用于对象绑定，底层仍用dom/SAX，确保工厂配置安全

示例（StAX）：

豆包AI编程

豆包推出的AI编程助手

483

查看详情

XMLInputFactory factory = XMLInputFactory.newInstance();
factory.setProperty(XMLInputFactory.SUPPORT_DTD, false);
factory.setProperty(XMLInput. FACTORY.IS_SUPPORTING_EXTERNAL_ENTITIES, false);
XMLStreamReader reader = factory.createXMLStreamReader(input);

输入验证与白名单控制

即使解析器已加固，也应验证XML来源和内容结构。

• 只接受来自可信源的XML
• 使用XSD校验代替DTD
• 限制XML大小，防止恶意构造的大文件消耗资源
• 对包含文件路径、URL等敏感字段的内容做额外检查

依赖库的安全配置

第三方库如Jackson、XStream也可能解析XML。需针对具体库设置防护。

例如XStream：

XStream xstream = new XStream();
// 使用黑白名单控制反序列化类
xstream.addPermission(NoTypePermission.NONE);
xstream.addPermission(PrimitiveTypePermission.PRIMITIVES);
xstream.allowTypes(new class[]{YourSafeClass.class});

Jackson的XmlMapper也应关闭DTD：

XmlMapper xmlMapper = new XmlMapper();
xmlMapper.configure(Feature.USE_DTD, false);

基本上就这些。只要在解析XML前正确配置解析器特性，禁用DTD和外部实体，并结合输入控制，就能有效防御XXE攻击。安全编码习惯比事后修复更重要。