Partager via

System.Xml.XmlReader Paramètres. Propriété Schemas

  • Article

Cet article vous offre des remarques complémentaires à la documentation de référence pour cette API.

Cet article concerne la Schemas propriété.

Important

  • N’utilisez aucun schéma provenant de sources ou d’emplacements inconnus ou non approuvés. Cela compromet la sécurité de votre code.
  • Les schémas XSD (notamment les schémas en ligne), sont par nature vulnérables aux attaques par déni de service. N’acceptez aucun schéma provenant de scénarios non approuvées.
  • Les messages d’erreur de validation de schéma et les exceptions peuvent exposer des informations sensibles sur le modèle de contenu ou les chemins d’URI du fichier de schéma. Veillez à ne pas exposer ces informations aux appelants non approuvés.
  • Pour plus d’informations, consultez la section « Considérations relatives à la sécurité ».

La XmlSchemaSet classe prend uniquement en charge les schémas XSD (XML Schema Definition Language). XmlReader Les instances créées par la Create méthode ne peuvent pas être configurées pour activer la validation de schéma XDR (XML-Data Reduced).

Considérations de sécurité

  • N’utilisez aucun schéma provenant de sources inconnues ou non approuvées. Cela va compromettre la sécurité de votre code. La classe XmlUrlResolver sert à résoudre les schémas externes par défaut. Pour désactiver la résolution des éléments « include », import et redéfinissez un schéma, affectez à la propriété XmlSchemaSet.XmlResolver la valeur null.

  • Les exceptions levées à la suite de l’utilisation de la classe XmlSchemaSet, telles que la classe XmlSchemaException, peuvent contenir des informations sensibles ne devant pas être exposées dans des scénarios non approuvés. Par exemple, la propriété SourceUri d’une XmlSchemaException retourne le chemin d’URI du fichier de schéma qui a provoqué l’exception. La propriété SourceUri ne doit pas être exposée dans des scénarios non approuvés. Les exceptions doivent être gérées correctement afin d’éviter l’exposition de ces informations sensibles dans des scénarios non approuvés.