libxml2是C语言中最成熟、最常用的XML解析库，支持DOM和SAX两种方式，轻量稳定跨平台，被GNOME等大量开源项目采用。

CML是严格基于XML语法规范构建的专用领域标记语言，专为精确表达化学信息而设计；它定义化学语义明确的标签体系，需通过Schema校验才能确保化学合法性，支持多维化学数据的结构化存储与FAIR管理。

XML解析器默认自动解析标准实体如

XML签名回绕攻击是利用XML解析与签名验证间结构信任偏差，将有效签名“包裹”于恶意节点外，使验证器误认其覆盖全部数据，而业务逻辑处理未签名的外部恶意内容。

Python中XML解析结果缓存的核心思路是避免重复解析，将解析后的Element对象转为可序列化形式或用支持对象缓存的机制（如lru_cache、joblib、Redis）存储复用。

JavaScript遍历XML节点树需先用DOMParser（或IE的ActiveXObject）解析字符串为DOM文档，再按nodeType区分元素、属性、文本节点递归访问，注意过滤空白文本并兼顾浏览器兼容性。

XML注释禁止出现连续“--”，因其会干扰结束标记-->的识别；合法注释需满足正则[^-]*(-[^-])*，可用全角字符或拆分方式安全表达破折号。

ID和IDREF是XML中依赖DTD或XMLSchema声明才能生效的内置类型，用于建立元素间唯一引用关系；未声明时仅是普通字符串，ID值须全局唯一且符合XML名称规则，IDREF必须严格匹配文档内已声明的ID值。

禁用外部实体引用可防止XXE攻击，需在Java（DOM/SAX/StAX）、.NET、Python、PHP及Node.js等各平台解析器中分别配置安全选项，如禁用DOCTYPE、关闭外部实体加载、启用安全处理模式等。

XML解析器不识别HTML5特有的命名字符实体如 ，仅预定义5个实体；XML中空格可用普通空格、不间断空格（ 或 ）等数值引用；xml:space="preserve"可保留空白，但无法使 有效；HTML5与XML混用时应统一用 替代 。

XML处理指令（PI）是以结束的特殊节点，用于向应用程序传递元数据或控制信息，目标名区分大小写且不能为"xml"，常见用途包括关联样式表（如）和自定义应用指令。

可采用五种方法将XML节点映射为C#Dictionary：一、XmlDocument遍历；二、LINQtoXML；三、递归解析嵌套结构；四、XmlSerializer配合自定义类；五、处理属性型XML。