如何用正则表达式安全地解析XML (为什么不推荐)

不推荐用正则表达式解析 XML，因其无法处理嵌套结构、命名空间、实体引用、CDATA 段、注释等核心特性，易出错且存在安全风险；应使用标准 XML 解析器。

不推荐用正则表达式解析 XML，因为它无法正确处理嵌套结构、命名空间、实体引用、CDATA 段、注释、处理指令等核心特性，极易出错且不可靠。

XML 是递归嵌套的，正则不支持真正递归

XML 元素可以无限嵌套（如 ...），而传统正则引擎（如 PCRE 以外的大多数）不支持匹配任意深度的嵌套标签。即使某些引擎支持递归语法（如 PCRE 的 (?R)），写出来的模式也极难维护、调试困难，且无法覆盖所有合法 XML 变体。

合法 XML 的变体太多，正则难以穷举

以下都是合法的 XML 片段，但会让简单正则完全失效：

• （属性值含转义引号）
• tagcontent]]>（CDATA 内部可含任意字符，包括“假闭合标签”）
• （注释中出现尖括号）
•  •zuojiankuohaophpcn（字符实体、数值字符引用）

• （命名空间前缀）

安全风险：正则易被构造数据绕过

若用正则提取“某个标签内容”来实现简易解析（例如 (.*?)），攻击者可注入：

• 换行或空白干扰匹配边界（\n）
• 自闭合标签伪造结构（real）
• 注释隐藏恶意内容（）

这类绕过在真实 XML 解析器中会被严格按规范拒绝，但正则会误判、截断或漏匹配，导致逻辑错误甚至 XSS。

正确做法：用标准 XML 解析器

所有主流语言都提供符合 W3C 规范的解析器，它们自动处理：

• Well-formedness 校验（标签配对、属性格式、编码一致性）
• 实体展开与字符解码
• 命名空间绑定与作用域
• DTD 或 Schema 验证（可选）

例如 Python 用 xml.etree.ElementTree 或 lxml；JavaScript 浏览器环境用 DOMParser，Node.js 用 libxmljs 或 sax；Java 用 DocumentBuilder 或 StAX。这些工具经多年验证，安全、健壮、可扩展。