XmlReaderSettings.MaxCharactersFromEntities Propiedad
Importante
Parte de la información hace referencia a la versión preliminar del producto, que puede haberse modificado sustancialmente antes de lanzar la versión definitiva. Microsoft no otorga ninguna garantía, explícita o implícita, con respecto a la información proporcionada aquí.
Obtiene o establece un valor que indica el número máximo de caracteres permitido en un documento que resulta de expandir las entidades.
public:
property long MaxCharactersFromEntities { long get(); void set(long value); };public long MaxCharactersFromEntities { get; set; }member this.MaxCharactersFromEntities : int64 with get, setPublic Property MaxCharactersFromEntities As LongEl número máximo de caracteres permitido de las entidades expandidas. El valor predeterminado es 0.
El código siguiente establece esta propiedad e intenta analizar un documento que contiene una entidad que se expande a un tamaño mayor que el límite establecido. En un escenario real, establecería este límite en un valor lo suficientemente grande como para controlar documentos válidos, pero lo suficientemente pequeño como para limitar la amenaza de documentos malintencionados.
string markup =
@"<!DOCTYPE Root [
<!ENTITY anEntity ""Expands to more than 30 characters"">
<!ELEMENT Root (#PCDATA)>
]>
<Root>Content &anEntity;</Root>";
XmlReaderSettings settings = new XmlReaderSettings();
settings.DtdProcessing = DtdProcessing.Parse;
settings.ValidationType = ValidationType.DTD;
settings.MaxCharactersFromEntities = 30;
try
{
XmlReader reader = XmlReader.Create(new StringReader(markup), settings);
while (reader.Read()) { }
}
catch (XmlException ex)
{
Console.WriteLine(ex.Message);
}
Dim markup As String = _
"<!DOCTYPE Root [" + Environment.NewLine + _
" <!ENTITY anEntity ""Expands to more than 30 characters"">" + Environment.NewLine + _
" <!ELEMENT Root (#PCDATA)>" + Environment.NewLine + _
"]>" + Environment.NewLine + _
"<Root>Content &anEntity;</Root>"
Dim settings As XmlReaderSettings = New XmlReaderSettings()
settings.DtdProcessing = DtdProcessing.Parse;
settings.ValidationType = ValidationType.DTD
settings.MaxCharactersFromEntities = 30
Try
Dim reader As XmlReader = XmlReader.Create(New StringReader(markup), settings)
While (reader.Read())
End While
Catch ex As XmlException
Console.WriteLine(ex.Message)
End Try
Este ejemplo produce el siguiente resultado:
There is an error in XML document (MaxCharactersFromEntities, ).
Un valor cero (0) significa que no hay límites en el número de caracteres resultantes de la expansión de entidades. Un valor distinto de cero especifica el número máximo de caracteres que pueden dar lugar a entidades de expansión.
Si el lector intenta leer un documento que contiene entidades de forma que el tamaño expandido supere esta propiedad, se producirá una XmlException excepción .
Esta propiedad permite mitigar los ataques de denegación de servicio en los que el atacante envía documentos XML que intentan superar los límites de memoria mediante la expansión de entidades. Al limitar los caracteres resultantes de entidades expandidas, puede detectar el ataque y recuperarse de forma confiable.
| Producto | Versiones |
|---|---|
| .NET | Core 1.0, Core 1.1, Core 2.0, Core 2.1, Core 2.2, Core 3.0, Core 3.1, 5, 6, 7 |
| .NET Framework | 2.0, 3.0, 3.5, 4.0, 4.5, 4.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8 |
| .NET Standard | 1.0, 1.1, 1.2, 1.3, 1.4, 1.6, 2.0, 2.1 |
| UWP | 10.0 |