1. 首頁
  2. 問答
  3. 是否有一個標準的安全xmlreader類可以證明各種DOS攻擊?

是否有一個標準的安全xmlreader類可以證明各種DOS攻擊?

2012-03-22 23 views
1

我總是可以開始寫我自己的,但我寧願不必保持它reactivley。雖然它可能會產生一種有趣的學習體驗。是否有一個標準的安全xmlreader類可以證明各種DOS攻擊?

所以我正在尋找一個XmlReader類已經證明了各種dos攻擊(dtd,元素深度,跨域nastiness等)。

有人有什麼想法嗎? 我唯一真正reource ATM是http://msdn.microsoft.com/en-us/magazine/ee335713.aspx

來源

2012-03-22 John Nicholas

+0

我一直在尋找類似的PHP,因爲它發生。從我所知道的情況來看,如果你不需要實體,只需刪除它們即可,並且可以防止XML炸彈以及本地文件被竊取。另外,請確保文檔類型指向受信任的DTD。除非你特別需要實體(我相信我可以在我的例子中刪除它),保持一些東西來做這兩件事應該是非常容易的。 – halfer 2012-03-22 17:34:21

+0

是的,我同意,雖然在寫這篇文章的時候,我並不知道我是否可以在沒有實體的情況下逃脫。我可以讓生活更簡單! – 2012-04-12 18:13:28

回答

1

如果使用XmlReader.Create創建你的讀者DTD處理會默認被禁用,因此,你不應該容易受到攻擊DTD(注意,這不是真實的XmlTextReader其中DTD處理是默認啓用的 - 更多詳細信息請參閱blog post I wrote和註釋)。對於元素深度 - 我不認爲XmlReader真的在乎 - 它只是一個狀態機,它將記錄在深度屬性中查找嵌套元素。

來源

2012-03-25 06:10:46 Pawel

+0

酷文章感謝。關於xmlTextReader的好處:D – 2012-04-12 18:14:47

相關問題

 相關問題