外部实体引用是通过在DOCTYPE中声明SYSTEM实体并引用其名称，将外部XML文件内容嵌入当前文档的机制。例如后使用&header;插入内容。该方法提升复用性但存在安全风险，如XXE攻击，因此许多解析器默认禁用。替代方案包括手动合并或使用XInclude。

在XML文档中包含另一个XML文件，可以通过外部实体引用实现。这种方式允许你将一个XML文件的内容嵌入到当前文档中，提升内容复用性和维护效率。

什么是外部实体引用

XML实体用于定义可重用的内容片段。外部实体指向文档之外的资源。通过声明外部实体并在文档中引用它，可以将另一个XML文件的内容引入当前文档。

外部实体分为两类：普通外部实体和参数实体（主要用于DTD内部）。我们这里关注普通外部实体。

如何声明和使用外部实体

要在XML中包含外部文件，需在文档类型定义（DOCTYPE）中声明外部实体，然后在文档内容中引用它。

基本语法如下：

• 在DOCTYPE中声明外部实体：
  
• 在文档中使用：
  &实体名;

示例：假设有一个外部XML文件header.xml，内容为：

主XML文件可以这样引用它：

]>

  &header;
  正文内容

解析时，&header;会被替换为header.xml中的内容。

注意事项与安全问题

虽然外部实体功能强大，但使用时需注意以下几点：

• 并非所有XML解析器默认启用外部实体解析。例如，许多现代解析器出于安全考虑禁用外部实体（防止XXE攻击）。
• 文件路径可以是相对路径或绝对路径，也可以是URL（如SYSTEM "http://example.com/data.xml"），但网络请求可能受限制。
• 确保被包含的文件内容是良构的XML片段，否则会导致解析错误。
• 避免在不可信环境中使用外部实体，尤其是处理用户输入的XML时，应关闭外部实体解析。

替代方案

如果因安全策略无法使用外部实体，可考虑以下方式：

• 在应用层手动读取并合并XML文件。
• 使用XInclude机制（需支持XInclude的解析器）：
  声明命名空间xmlns:xi="http://www.w3.org/2001/XInclude"，然后使用。

基本上就这些。外部实体引用是一种原生XML机制，适合在可控环境中复用内容，但要小心安全风险。