什么是XML Bomb (Billion Laughs Attack) 拒绝服务攻击

XML Bomb（Billion Laughs Attack）是利用DTD递归实体展开导致内存爆炸的DoS攻击，通过数百字节XML触发GB级内存分配；防御须禁用DTD、关闭外部实体并限制展开深度。

XML Bomb（又称 Billion Laughs Attack）是一种典型的 XML 拒绝服务（DoS）攻击，核心是用极小的 XML 文本触发解析器指数级内存膨胀，最终耗尽服务器内存导致服务中断。

攻击是怎么发生的

它依赖 XML 的 DTD 实体机制，尤其是递归嵌套的内部实体定义。攻击者在 XML 文档中声明多个层级的实体，每个实体引用前一个，形成链式展开关系。例如：

• &a0; 展开为 10 个 &a1;
• &a1; 展开为 10 个 &a2;
• ……持续到 &a9;，最终生成 10¹⁰（即 100 亿）个字符串

原始 XML 可能仅几百字节，但解析时需在内存中展开为 GB 级文本，造成 OOM 或长时间卡死。

为什么普通解析器会中招

很多 XML 解析器默认启用 DTD 处理，且未限制实体嵌套深度、展开总量或外部实体加载。只要文档语法合法，解析器就会忠实执行全部展开逻辑，不加资源约束。

标签： python java js json 字节 区别 .net 为什么