不推荐用正则表达式解析 XML,因其无法处理嵌套结构、命名空间、实体引用、CDATA 段、注释等核心特性,易出错且存在安全风险;应使用标准 XML 解析器。
不推荐用正则表达式解析 XML,因为它无法正确处理嵌套结构、命名空间、实体引用、CDATA 段、注释、处理指令等核心特性,极易出错且不可靠。
XML 是递归嵌套的,正则不支持真正递归
XML 元素可以无限嵌套(如 <a><b><c>...</c></b></a>),而传统正则引擎(如 PCRE 以外的大多数)不支持匹配任意深度的嵌套标签。即使某些引擎支持递归语法(如 PCRE 的 (?R)),写出来的模式也极难维护、调试困难,且无法覆盖所有合法 XML 变体。
合法 XML 的变体太多,正则难以穷举
以下都是合法的 XML 片段,但会让简单正则完全失效:
-
<tag attr="value " quoted></tag>(属性值含转义引号) -
<a>tag</a>content]]>(CDATA 内部可含任意字符,包括“假闭合标签”) -
<!-- comment with <tag> inside -->(注释中出现尖括号) -
•<(字符实体、数值字符引用) -
<p class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;" fix:tag xmlns:prefix="urn:ns"></pre>(命名空间前缀)登录后复制
</p>
安全风险:正则易被构造数据绕过
若用正则提取“某个标签内容”来实现简易解析(例如 <name>(.*?)</name>),攻击者可注入:
标签: javascript python java js node.js node 正则表达式 编码 浏览器 工具 作用域 为
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~