XML 读取器

XML 读取器是 XML 输入源的光标。 XML 读取器的核心是一次读取一个 XML 节点 ，但还有其他帮助程序 API 使读取一系列节点更加容易。

支持以下类型的读取器输入：

• 编码字节的内存中缓冲区
• 流
• XML 缓冲区

安全性

读取器将验证元素上存在的属性是否唯一。 执行此验证所需的时间取决于 元素上的属性数，其大小可能高达 WS_XML_READER_PROPERTY_MAX_ATTRIBUTES。 因此，当 WS_XML_READER_PROPERTY_MAX_ATTRIBUTES 设置为大值时处理大型文档可能会造成拒绝服务攻击。

读取器会将前缀映射到每个元素和属性的命名空间。 执行此映射所需的时间是范围内 xmlns 属性数的函数，其大小可能高达 WS_XML_READER_PROPERTY_MAX_NAMESPACES。 因此，当此属性设置为大值时，处理大型文档可能会造成拒绝服务攻击。

虽然读者将确保文档遵循 xml 的语法规范，而且其方面在指定的配额范围内，但来自不受信任的源时，文档内容仍必须被视为不受信任。 读取器的用户应使用 WsReadToStartElement、WsFindAttribute 或通过手动检查节点来检查所有元素和属性名称和命名空间。

要考虑的其他一些情况包括但不限于：

• 可能缺少预期的元素
• 可能会出现意外元素
• 可能缺少预期属性
• 可能会出现意外的属性
• 元素可能显示为空元素
• 空格可能出现在意外位置

读取者用户不应仅根据从文档读取的值分配内存。 例如，请考虑以下 xml 文档：

<array count='1000000'>
   <!-- malicious document provider didn't actually provide 1000000 array items -->
</array>

基于以下假设分配数组：一些元素将遵循一定数量的元素是潜在的攻击途径。 在这种情况下，读取器的用户应改为在元素出现时以增量方式分配内存。

XML 读取器不支持 DTD。 读取器的用户无需关注 DTD 验证。

以下回调用于 XML 读取器：

• WS_READ_CALLBACK

以下枚举与 XML 读取器一起使用：

• WS_XML_READER_ENCODING_TYPE
• WS_XML_READER_INPUT_TYPE
• WS_XML_READER_PROPERTY_ID

以下函数用于 XML 读取器：

• WsCreateReader
• WsFillReader
• WsFindAttribute
• WsFreeReader
• WsGetNamespaceFromPrefix
• WsGetReaderNode
• WsGetReaderPosition
• WsGetReaderProperty
• WsGetXmlAttribute
• WsMoveReader
• WsReadArray
• WsReadBytes
• WsReadChars
• WsReadCharsUtf8
• WsReadEndAttribute
• WsReadEndElement
• WsReadNode
• WsReadQualifiedName
• WsReadStartAttribute
• WsReadStartElement
• WsReadToStartElement
• WsReadValue
• WsSetInput
• WsSetInputToBuffer
• WsSetReaderPosition
• WsSkipNode

以下句柄用于 XML 读取器：

• WS_XML_READER

以下结构用于 XML 读取器：

• WS_XML_READER_BINARY_ENCODING
• WS_XML_READER_BUFFER_INPUT
• WS_XML_READER_ENCODING
• WS_XML_READER_INPUT
• WS_XML_READER_MTOM_ENCODING
• WS_XML_READER_PROPERTIES
• WS_XML_READER_PROPERTY
• WS_XML_READER_STREAM_INPUT
• WS_XML_READER_TEXT_ENCODING