System.Xml.XmlReader Einstellungen. Schemas-Eigenschaft

  • Artikel

Dieser Artikel enthält ergänzende Hinweise zur Referenzdokumentation für diese API.

Dieser Artikel bezieht sich auf die Schemas Eigenschaft.

Wichtig

  • Verwenden Sie keine Schemas aus unbekannten oder nicht vertrauenswürdigen Quellen oder Speicherorten. Dadurch wird die Sicherheit Ihres Codes beeinträchtigt.
  • XSD-Schemas (auch Inlineschemas) sind von Natur aus anfällig für DoS-Angriffe. Sie sollten sie daher in nicht vertrauenswürdigen Szenarien nicht akzeptieren.
  • Fehlermeldungen und Ausnahmen bei der Schemaüberprüfung können vertrauliche Informationen zum Inhaltsmodell oder zu URI-Pfaden in der Schemadatei verfügbar machen. Achten Sie darauf, diese Informationen nicht für nicht vertrauenswürdige Aufrufer verfügbar zu machen.
  • Weitere Informationen finden Sie im Abschnitt "Sicherheitsaspekte".

Die XmlSchemaSet Klasse unterstützt nur XSD-Schemaschemas (XML Schema Definition Language). XmlReader Instanzen, die von der Create Methode erstellt wurden, können nicht so konfiguriert werden, dass die XML-Data Reduced (XDR)-Schemaüberprüfung aktiviert wird.

Sicherheitshinweise

  • Verwenden Sie keine Schemas aus unbekannten oder nicht vertrauenswürdigen Quellen. Dadurch wird die Sicherheit Ihres Codes beeinträchtigt. Die XmlUrlResolver-Klasse wird standardmäßig zur Auflösung externer Schemas verwendet. Um die Auflösung von include-, import- und redefine-Elementen eines Schemas zu deaktivieren, legen Sie die XmlSchemaSet.XmlResolver-Eigenschaft auf null fest.

  • Ausnahmen, die aufgrund der Verwendung der XmlSchemaSet-Klasse (etwa der XmlSchemaException-Klasse) ausgelöst werden, enthalten möglicherweise vertrauliche Informationen, die in nicht vertrauenswürdigen Szenarien nicht verfügbar gemacht werden sollten. Beispielsweise gibt die SourceUri-Eigenschaft eines XmlSchemaException-Elements den URI-Pfad zur Schemadatei zurück, die die Ausnahme verursacht hat. Die SourceUri-Eigenschaft sollte in nicht vertrauenswürdigen Szenarien nicht verfügbar gemacht werden. Ausnahmen müssen ordnungsgemäß behandelt werden, damit diese vertraulichen Informationen in nicht vertrauenswürdigen Szenarien nicht verfügbar gemacht werden.