C# 解析加载读取XML文件的正确姿势


C# 解析加载读取XML文件的正确姿势

危险写法

在C#加载XML文件时,我们常用的做法是:

C# 全选
XmlDocument doc = new XmlDocument()
doc.LoadXml(xmlFileName)

如果你要这样写,就会引发一个 XML外部实体注入漏洞

一级类:代码注入

二级类:XML外部实体注入

漏洞详细信息

XML1.0标准里,XML文档结构里定义了实体(entity)这个概念。实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容。如果在这个过程中引入了污染,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

**例如:**

XML 全选
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE a [
<!ELEMENT a ANY >
<!ENTITY xxe SYSTEM "file:///c:/Windows/win.ini" >]><a>&xxe;</a>

如果 XML 解析器尝试使用 c:/Windows/win.ini 系统文件中的内容来替代实体,则此示例会暴露该文件中的内容。

修复建议

预防XXE攻击的最佳方式就是禁用XML实体解析,方法是:将DtdProcessing设置为DtdProcessing.

 

Prohibit来禁用inline DTD,或将XmlReaderSettings.XmlResolver属性设置为null来禁用XML Entity解析:

C# 全选
XmlReaderSettings settings = new XmlReaderSettings();
settings.DtdProcessing =DtdProcessing.Prohibit;
settings.XmlResolver = null;
XmlReader reader = XmlReader.Create(stream, settings);

如果必须在应用程序中处理外部实体,可以创建一个自定义XmlResolver

设置请求超时,预防无限延迟攻击;

限制将检索的数据量;

限制 XmlResolver 检索本地主机上的资源。

详细代码可参考: https://msdn.microsoft.com/en-us/magazine/ee335713.aspx

 

实例

xml转换为json字符串

C# 全选
XmlReaderSettings settings = new XmlReaderSettings();
settings.DtdProcessing = DtdProcessing.Prohibit;
settings.XmlResolver = null;
XmlReader reader = XmlReader.Create(System.IO.Path.Combine(AppDomain.CurrentDomain.BaseDirectory, "WindowsFormsApp1.xml"), settings);
var jsonString = Newtonsoft.Json.JsonConvert.SerializeObject(reader);

 

版权声明:本文为YES开发框架网发布内容,转载请附上原文出处连接
张国生
上一篇:C# winform程序判断是否管理员运行
下一篇:JS统计数组中合计SUM统计
评论列表

发表评论

评论内容
昵称:
验证码:
验证码
关联文章

C# 解析读取XML文件正确姿势
System.BadImageFormatException:“未能文件或程序集 或它某一个依赖项。试图格式不正确程序
ASP.NET Core 中读取Post Request.Body 正确姿势
服务安装失败:未能文件或程序集
C#读取被进程占用文件,只读模式打开文件
RestSharp请求https添加Cookie信息正确姿势
C#解析指定dllapp.config配置文件
C# XML 序列化与反序列化详解及实战示例
C# txt文本文件读取与写入,
C# 读取txt文件生成Word文档
.NET Core 中读取 Request.Headers 姿势
未能文件或程序集“CefSharp.Core.dll”或它某一个依赖项。
C#四舍五入正确方式Math.Round
文件或目录损坏且无法读取
java项目集成nacos,实现配置以及服务子发现
从数据库或者其他位置ASP.NET MVC Views 视图 数据库中加 cshtml
MEF会缺少一些dll,
Devexpress 表格GridView列RepositoryItemPictureEdit异步远程URL图片
[WPF] 实现两个任天堂 Switch 动画
winform自定义控件(UserControl)研究

热门标签
.NET Core .NET Reactor ag-grid AI发布 api安全 ASP.NET Core C#DLL加密 C#播放声音 C#代码混淆 C#代码加密 ChromeDriver Codex DateTime DBeaver devexpress devTool DLL混淆 edge.js EF EFCore Electron element-ui el-form el-table excel FastReport FileStream FolderBrowerDialog FolderSelectDialog form提交 git gridcontrol gridview input javascript json字符串 JS转换对象JSON jwt JWT授权 linq log Math MCP mitmproxy MVC MySQL Navicat netstat nginx node_modules NSwag Nuget Nuget镜像 number PowerShell pyinstaller python pythoncom python爬虫 python抓包 pywin32 redis Requests-html RestSharp Selenium sql SQL Server Swagger to-cms Visual Studio VSCode vue VueRouter vue路由 VUE页面通讯 Webpack Windows Windows服务 winform wmi xlrd yaml YESCMS YESWEB开发框架 白象 表单提交 播放声音 打开URL 代码混淆 弹窗提醒 端口占用 对象转换 分布式 公共字典 机器码 进程排查 静态资源 开发指南 路由参数 密钥 配置教程 配置文件 权限 人工智能 任务 任务调度 日期间隔 日志 日志记录 省市区 授权验证 数据库 四舍五入 文案 文件读取 文件夹选择 文件目录选择 问题排查 行政区域数据 页面通讯 中间件 CSharp 事务锁 工单系统 并发控制 重复提交 CMS Markdig Markdown markdown-it marked 技术选型 VS Code 开发工具 源代码管理 版本控制 Docker PostgreSQL 时区 部署排查 CMS架构 EF Core 主题系统 二次开发 插件系统 容器 运维命令 镜像清理 Linux NAS 远程挂载 飞牛 fnOS S/4HANA SAP GUI SAP HANA SAP R/3 SAP入门 SAP版本 ERP SAP SAP MM 库存管理 物料管理 采购管理 入门教程 SAP S/4HANA SPRO 企业结构 采购组织 MM01 物料主数据 物料类型 BP分组 业务伙伴 供应商主数据 ME41 RFQ 库存物料 采购流程 ME51 消耗性物料 科目分配 采购申请 AC03 ML81N 外部服务 服务主数据 Business Partner SAP培训 ME51N MM模块 Lean Services MM-SRV 外部服务采购 PIR 供应来源 采购主数据 采购信息记录 ME31K 框架协议 计划协议 采购合同 ME01 供应来源确定 货源清单 MEQ1 供应源确定 配额安排 配额评分 MD04 MD21 MRP 计划文件 需求计划 批量程序 MD01N MD02 MRP Live MD05 MM 物料计划 优化采购 供应源 采购订单 ME2A 供应商确认 采购监控 Flexible Workflow 凭证释放 采购审批 释放策略 实地盘点 物料凭证 货物移动 MIGO 收货 移动类型 已撤回 供应商退货 货物发出 STO 库存转储 转移过账 生产订单 预留 GR/IR MIRO 供应商发票 物流发票校验 OMR2 税码 FI PP SD 实操教程 MRBR OMR6 发票差异 交货成本 后续借记 MI01 实物盘点 盘点差异
联系我们
联系电话:15090125178(微信同号)
电子邮箱:garson_zhang@163.com
站长微信二维码
微信二维码