XPath注入攻击是通过恶意输入篡改XPath表达式逻辑的安全漏洞，防范需禁用字符串拼接、采用参数化查询、严格输入校验、最小权限设计及错误信息脱敏。

XPath注入攻击是一种针对使用XPath查询语言处理XML数据的应用程序的注入类安全漏洞，原理类似于SQL注入：攻击者通过构造恶意输入，篡改原本预期的XPath表达式逻辑，从而绕过身份验证、读取敏感节点、甚至遍历整个XML文档结构。

攻击是如何发生的

当应用程序将用户可控输入（如登录表单中的用户名、密码）直接拼接到XPath查询字符串中，且未做任何过滤或转义时，就可能被利用。例如：

原始代码片段（不安全）：

若用户输入用户名为 ' or '1'='1，密码为任意值，则拼接后的XPath变为：

该表达式恒为真，可能导致未授权访问或返回所有用户节点。

关键防范措施

核心原则是：**绝不信任用户输入，避免字符串拼接构造XPath**。

• 使用参数化XPath查询（推荐）：部分XPath处理器（如Java的JAXP、.NET的XPathNavigator）支持预编译+参数绑定。例如在.NET中用 XPathExpression.Compile() 配合 XPathVariable；Java中可借助Saxon或自定义封装实现变量占位与安全绑定。
• 严格输入校验与白名单过滤：对用户名、ID等字段限制字符集（如仅允许字母、数字、下划线），长度设上限，并拒绝含单引号、双引号、方括号、星号、竖线等XPath元字符的输入。
• 最小权限XML文档结构设计：避免在服务端XML中存放明文密码、密钥等敏感数据；认证逻辑尽量移至应用层，而非依赖XPath条件筛选敏感节点。
• 错误信息脱敏：禁用详细的XPath解析错误堆栈（如“Invalid predicate”、“Unexpected token”），防止泄露XML结构线索，统一返回通用错误提示。

补充建议

若必须动态构建XPath，请对特殊字符进行HTML实体编码或自定义转义（如将 ' 替换为 '），但注意这仅是辅助手段，不能替代参数化或输入过滤；定期使用静态分析工具（如SonarQube、Checkmarx）扫描XPath拼接代码；对遗留系统中大量XPath使用的模块，考虑逐步迁移到JSON+JSONPath或标准API接口，降低攻击面。