System.Xml.XmlReader Einstellungen. Schemas-Eigenschaft
Dieser Artikel enthält ergänzende Hinweise zur Referenzdokumentation für diese API.
Dieser Artikel bezieht sich auf die Schemas Eigenschaft.
Wichtig
- Verwenden Sie keine Schemas aus unbekannten oder nicht vertrauenswürdigen Quellen oder Speicherorten. Dadurch wird die Sicherheit Ihres Codes beeinträchtigt.
- XSD-Schemas (auch Inlineschemas) sind von Natur aus anfällig für DoS-Angriffe. Sie sollten sie daher in nicht vertrauenswürdigen Szenarien nicht akzeptieren.
- Fehlermeldungen und Ausnahmen bei der Schemaüberprüfung können vertrauliche Informationen zum Inhaltsmodell oder zu URI-Pfaden in der Schemadatei verfügbar machen. Achten Sie darauf, diese Informationen nicht für nicht vertrauenswürdige Aufrufer verfügbar zu machen.
- Weitere Informationen finden Sie im Abschnitt "Sicherheitsaspekte".
Die XmlSchemaSet Klasse unterstützt nur XSD-Schemaschemas (XML Schema Definition Language). XmlReader Instanzen, die von der Create Methode erstellt wurden, können nicht so konfiguriert werden, dass die XML-Data Reduced (XDR)-Schemaüberprüfung aktiviert wird.
Sicherheitshinweise
Verwenden Sie keine Schemas aus unbekannten oder nicht vertrauenswürdigen Quellen. Dadurch wird die Sicherheit Ihres Codes beeinträchtigt. Die XmlUrlResolver-Klasse wird standardmäßig zur Auflösung externer Schemas verwendet. Um die Auflösung von include-, import- und redefine-Elementen eines Schemas zu deaktivieren, legen Sie die XmlSchemaSet.XmlResolver-Eigenschaft auf
null
fest.Ausnahmen, die aufgrund der Verwendung der XmlSchemaSet-Klasse (etwa der XmlSchemaException-Klasse) ausgelöst werden, enthalten möglicherweise vertrauliche Informationen, die in nicht vertrauenswürdigen Szenarien nicht verfügbar gemacht werden sollten. Beispielsweise gibt die SourceUri-Eigenschaft eines XmlSchemaException-Elements den URI-Pfad zur Schemadatei zurück, die die Ausnahme verursacht hat. Die SourceUri-Eigenschaft sollte in nicht vertrauenswürdigen Szenarien nicht verfügbar gemacht werden. Ausnahmen müssen ordnungsgemäß behandelt werden, damit diese vertraulichen Informationen in nicht vertrauenswürdigen Szenarien nicht verfügbar gemacht werden.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für