XmlReaderSettings.MaxCharactersFromEntities プロパティ

定義

名前空間:
System.Xml
アセンブリ:
System.Xml.dll, System.Xml.ReaderWriter.dll
アセンブリ:
System.Xml.dll
アセンブリ:
System.Xml.ReaderWriter.dll
アセンブリ:
netstandard.dll

エンティティの展開に起因するドキュメント内の最大文字数を示す値を取得または設定します。

public:
 property long MaxCharactersFromEntities { long get(); void set(long value); };
public long MaxCharactersFromEntities { get; set; }
member this.MaxCharactersFromEntities : int64 with get, set
Public Property MaxCharactersFromEntities As Long

プロパティ値

Int64

展開されたエンティティから許容される最大文字数。 既定値は 0 です。

次のコードは、このプロパティを設定し、設定された制限を超えるサイズに拡張するエンティティを含むドキュメントの解析を試みます。 実際のシナリオでは、この制限を有効なドキュメントを処理するのに十分な大きさの値に設定しますが、悪意のあるドキュメントからの脅威を制限するのに十分な小さな値に設定します。

string markup =
@"<!DOCTYPE Root [
  <!ENTITY anEntity ""Expands to more than 30 characters"">
  <!ELEMENT Root (#PCDATA)>
]>
<Root>Content &anEntity;</Root>";

XmlReaderSettings settings = new XmlReaderSettings();
settings.DtdProcessing = DtdProcessing.Parse;
settings.ValidationType = ValidationType.DTD;
settings.MaxCharactersFromEntities = 30;

try
{
    XmlReader reader = XmlReader.Create(new StringReader(markup), settings);
    while (reader.Read()) { }
}
catch (XmlException ex)
{
    Console.WriteLine(ex.Message);
}

Dim markup As String = _
    "<!DOCTYPE Root [" + Environment.NewLine + _
    "  <!ENTITY anEntity ""Expands to more than 30 characters"">" + Environment.NewLine + _
    "  <!ELEMENT Root (#PCDATA)>" + Environment.NewLine + _
    "]>" + Environment.NewLine + _
    "<Root>Content &anEntity;</Root>"

Dim settings As XmlReaderSettings = New XmlReaderSettings()
settings.DtdProcessing = DtdProcessing.Parse;
settings.ValidationType = ValidationType.DTD
settings.MaxCharactersFromEntities = 30

Try
    Dim reader As XmlReader = XmlReader.Create(New StringReader(markup), settings)
    While (reader.Read())
    End While
Catch ex As XmlException
    Console.WriteLine(ex.Message)
End Try

この例を実行すると、次の出力が生成されます。

There is an error in XML document (MaxCharactersFromEntities, ).

注釈

ゼロ (0) の値は、エンティティの展開に起因する文字数に制限がないことを意味します。 0 以外の値は、エンティティの展開によって発生する可能性がある最大文字数を指定します。

拡張サイズがこのプロパティを超えるエンティティを含むドキュメントを閲覧者が読み取ろうとすると、 XmlException がスローされます。

このプロパティを使用すると、攻撃者が拡張エンティティを介してメモリ制限を超えようとする XML ドキュメントを送信するサービス拒否攻撃を軽減できます。 拡張されたエンティティの結果として生じる文字を制限することで、攻撃を検出して確実に回復できます。

適用対象