XML文档可以从一个很小的逻辑块(实体)开始动态构建。实体可以是内部的、外部的或者基于参数的。外部实体运行是将外部文件中的 XML 包含进来。攻击者可以通过操作实例的 URI, 使其指向特定的在当前文件系统中保存的文件，从而造成拒绝服务或程序崩溃，比如：指定/dev/random 或者/ dev/tty作为输入的 URI, 这可能造成永久阻塞程序或者程序崩溃。

对于预防XML外部实体攻击的情况，示例1给出了不规范用法(Java 语言)示例。示例2给出了 规范用法(Java 语言)示例。

示例1:class    XXE    {private static void receiveXMLStream(InputStreaminStream,DefaultHandlerdefaultHandler)throws ParserConfigurationException, SAXException, IOException {SAXParserFactory factory = SAXParserFactory.newInstance();SAXParsersaxParser = factory.newSAXParser();saxParser.parse(inStream, defaultHandler);public static void main(String[] args) throws ParserConfigurationException,SAXException,IOException {try {receiveXMLStream(new FilelnputStream("evil.xml"),new DefaultHandler());}catch(java.net.MalformedURLExceptionmue){System.err.println("Malformed URL Exception:"+ mue);}}

上面的代码尝试对 evil.xml进行解析，并且报告相关错误后退出。然而，SAX 或者 DOM  解析器

会尝试访问在SYSTEM   属性中标识的 URL, 这意味着它将读取一个本地的/dev/try文件的内容。在

POSIX 系统中，读取这个文件会导致程序阻塞，直到可以通过计算机控制台得到输入数据为止。攻击 者可以使用这一类的恶意XML  文件来导致系统挂起。

如果 evil.xml文件中包含以下文本，程序会受到远程 XXE 攻击。

<? xml version="1.0"?><!DOCTYPE foo SYSTEM "file:/dev/tty"><foo)bar</foo)

使用 EntityResolver方案来防止 XML  外部实体注入。

示例2:class CustomResolver implements EntityResolver {public InputSourceresolveEntity(String publicld, String systemld)throws SAXException, IOException {// Check for known good entitiesString  entityPath  ="file:/Users/onlinestore/good.xml";if (systemld.equals(entityPath)){System.out.println("Resolving    entity:"+    publicld+""+    systemld);return new InputSource(entityPath);} else {// Disallow unknown entities by returning a blank pathreturn new InputSource();}}}

针对不规范的代码示例的解决方案是，定义一个 CustomResolver 类，这个类实现了org.xml.sax. EntityResolver接口。它可以让SAX 应用定制对外部实体的处理。这个定制的处理器使用的是一个 为外部实体定义的简单的白名单。当输入不是任何指定的、安全的实体源路径时，resolverEntity()方 法会返回一个空的 InputSource 对象。

setEntityResolver()方法可以将对应的 SAX 驱动实例注册进来。当解析恶意输入时，这个由自定义解析器返InputStream 对象会抛出 java.net.MalformedURLException 异常。需要注意的是，应创建一个XMLReader对象，以便通过这个对象来设置自定义的实体解析器。

class  XXE{private static void receiveXMLStream(InputStreaminStream,DefaultHandlerdefaultHandler)throws ParserConfigurationException, SAXException,IOException{SAXParserFactory factory = SAXParserFactory.newInstance();SAXParsersaxParser = factory.newSAXParser();// To set the Entity Resolver,an XML reader needs to be createdXMLReader reader = saxParser.getXMLReader();reader.setEntityResolver(new CustomResolver());reader.setErrorHandler(defaultHandler);InputSource is = new InputSource(inStream);reader.parse(is);public static void main(String[] args)throws ParserConfigurationException, SAXException, IOException{receiveXMLStream(new FileInputStream("evil.xml"),new  DefaultHandler());}}