Condividi tramite


System.Xml.XmlReader Impostazioni. Proprietà Schemas

Questo articolo fornisce osservazioni supplementari alla documentazione di riferimento per questa API.

Questo articolo riguarda la Schemas proprietà .

Importante

  • Non usare schemi da origini o percorsi sconosciuti o non attendibili. In questo modo si compromette la sicurezza del codice.
  • Gli XML Schema (inclusi gli schemi inline) sono intrinsecamente vulnerabili agli attacchi Denial of Service; non accettarli in scenari non attendibili.
  • I messaggi di errore di convalida dello schema e le eccezioni possono esporre informazioni riservate sui percorsi con modalità tenda l o URI al file di schema. Prestare attenzione a non esporre queste informazioni ai chiamanti non attendibili.
  • Per altre informazioni, vedere la sezione "Considerazioni sulla sicurezza".

La XmlSchemaSet classe supporta solo schemi XSD (XML Schema Definition Language). XmlReader Le istanze create dal Create metodo non possono essere configurate per abilitare la convalida dello schema XML-Data Reduced (XDR).

Considerazioni sulla sicurezza

  • Non usare schemi da origini sconosciute o non attendibili. In questo modo verrà compromessa la sicurezza del codice. La XmlUrlResolver classe viene usata per risolvere gli schemi esterni per impostazione predefinita. Per disabilitare la risoluzione di elementi di inclusione, importazione e ridefinizione di uno schema, impostare la XmlSchemaSet.XmlResolver proprietà su null.

  • Le eccezioni generate in seguito all'uso della XmlSchemaSet classe , ad esempio la XmlSchemaException classe , possono contenere informazioni riservate che non devono essere esposte in scenari non attendibili. Ad esempio, la SourceUri proprietà di un XmlSchemaException oggetto restituisce il percorso dell'URI al file di schema che ha causato l'eccezione. La SourceUri proprietà non deve essere esposta in scenari non attendibili. Le eccezioni devono essere gestite correttamente in modo che queste informazioni riservate non vengano esposte in scenari non attendibili.