Empêche XmlReader d'étendre les entités XML

Question

Existe-t-il un moyen d'empêcher la classe XmlReader de .NET d'étendre les entités XML à leur valeur lors de la lecture du contenu?

Par exemple, supposons que le code XML suivant est utilisé comme entrée:

<?xml version="1.0" encoding="UTF-8" standalone="no"?> 
<!DOCTYPE author PUBLIC "ISO 8879:1986//ENTITIES Added Latin 1//EN//XML" "http://www.oasis-open.org/docbook/xmlcharent/0.3/iso-lat1.ent" > 
<author>&aacute;</author> 

Supposons qu'il est impossible d'atteindre la DTD externe OASIS nécessaire pour l'expansion de l'entité aacute. Je voudrais que le lecteur lise, en séquence, l'élément author, puis le noeud aacute de type EntityReference, et enfin l'élément end de l'auteur, sans émettre d'erreur. Comment puis-je atteindre cet objectif?

MISE À JOUR: Je souhaite également empêcher l'expansion d'entités de caractères telles que á.

Answer 1

Une façon de le faire est d'utiliser `XmlTextReader », comme ceci:

using (var reader = new XmlTextReader(@"your url")) 
{ 
    // note this 
    reader.EntityHandling = EntityHandling.ExpandCharEntities; 
    while (reader.Read()) 
    { 
     // here it will be EntityReference with no exceptions 
    } 
} 

Si ce n'est pas une option - vous pouvez faire la même chose avec XmlReader, mais une réflexion sera nécessaire (au moins I ne pas connaître d'une autre manière):

using (var reader = XmlReader.Create(@"your url", new XmlReaderSettings() { 
    DtdProcessing = DtdProcessing.Ignore // or Parse 
})) { 
    // get internal property which has the same function as above in XmlTextReader 
    reader.GetType().GetProperty("EntityHandling", BindingFlags.Instance | BindingFlags.NonPublic).SetValue(reader, EntityHandling.ExpandCharEntities); 
    while (reader.Read()) { 
      // here it will be EntityReference with no exceptions 
    } 
} 

Answer 2

L'analyse XML est dangereuse. Dans certains cas, il permet aux attaques CVE et Denial-of-Service.

Par exemple CVE-2016-3255

il a été EXAMINÉS également sur Black Hat EU 2013

Le document le plus intéressé est MLDTDEntityAttacks qui fournit et Implémentations Recomendations pour les développeurs.

Récupérer des ressources:

<!DOCTYPE roottag [ 
<!ENTITY windowsfile SYSTEM "file:///c:/boot.ini"> 
]> 
<roottag> 
<sometag>&windowsfile;</sometag> 
</roottag> 

DoS:

<?xml version="1.0" encoding="UTF-8" standalone="no"?> 
<!DOCTYPE root 
    [ 
    <!ENTITY a0 "test" > 
    <!ENTITY a1 "&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;"> 
    <!ENTITY a2 "&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;"> 
    <!ENTITY a3 "&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;"> 
    <!ENTITY a4 "&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;"> 
    ]> 
<root>&a4;</root> 

Retour à votre question.
Comme @Evk a écrit: En réglant EntityHandling, vous pouvez empêcher l'expansion de toutes les entités sauf CharEntities.

Je ne connais pas de solution pour empêcher l'expansion de CharEntity à l'exception de votre propre implémentation XmlReader.

Je pense que vous voulez aussi éviter que l'analyse syntaxique & ' < > "

Pour votre information comment et où XmlTextReader parse CharEntity

XmlTextReader
ParseElementContent
& case
ParseText
Char entity case
Cette fonction analyse enfin la référence d'entité de caractère numérique (par ex.   et á)
ParseNumericCharRefInline

Cette fonction parse appelée référence d'entité de caractères (& ' < > ")
ParseNamedCharRef