可能的基于 XML 的攻击有：

1. XML 炸弹（又名十亿 LOL 攻击）。这是一个 XML 文件，它使用递归自定义实体类型定义来攻击易受攻击的 XML 解析器。XML 炸弹在磁盘上的大小非常小，但在解析时会扩大到很大的大小，可能会耗尽受害者设备上的可用内存。
2. 可能不会返回的外部实体类型。在这种情况下，XML 文档在不响应或响应缓慢的 URL 处定义了一个外部实体类型。这可能会导致受害者设备上的 DoS。
3. 暴露敏感信息的外部实体类型。这类似于第 2 点（并在同一链接中进行了解释），但在这种情况下，外部实体类型会尝试公开敏感的本地文件（例如file:///etc/passwd）

这些攻击中的任何一个能否成功取决于本地机器上安装的 XML 解析器。我认为新版本的 IE、Firefox 等应用程序可以防止这些，但旧版本或某些自定义软件可能容易受到攻击。

攻击者可以出于邪恶的原因使用 XML 文件，正如您询问过去是否发生过类似的事情，过去曾出现过此类恶意 XML 附加文件的示例。

事实上，我要提到的攻击是最近发生的，在 2015 年 2 月结束时完成，公司收到带有附加恶意 XML 文件的垃圾邮件：

此附件是 Microsoft Word XML 文档；Microsoft 有一个用于 XML 文件的特殊处理程序，它将根据检测到的内容选择应用程序来处理它们，如此处所述，因此双击它可以导致 MS Word 被执行，从而加载嵌入其中的恶意宏。下图显示了恶意文档的存储方式：

来源

如果他们阻止 HTML，那么阻止 XML 也是有意义的，因为它可以使用 XSLT 转换为 XHTML（所有最近通过 Acid3 测试的浏览器都支持转换），这与普通 HTML 非常相似（尤其是安全方面）。