3
XPS文檔有多安全?在從XPS文檔的內部查看後,找到了Unicode字符串屬性。有人可以注入e.x.一個腳本放入Unicode字符串屬性中?XPS文檔有多安全?
XPS查看器如何處理Unicode字符串屬性?作爲字形的集合還是什麼?
更新:我添加了以下字符串作爲UnicodeText
[email protected]#$%^&*()_+
和XPS查看器拒絕打開該文件。這就是這個問題如何進入我的腦海
A
回答
16
XPS文件,而不是(咳嗽)some other format不能包含腳本或活動內容。它們僅用於用作高保真預打印格式。話雖如此,XPS解析器並不完全不可能包含安全漏洞。他們可以被利用。儘管如此,迄今爲止我還沒有聽說過這樣的攻擊。
但回到你的觀點。如果有人想在XPS文檔中將腳本放入字符串中,他肯定可以這樣做。他不應該指望它被執行。如果某些軟件實際上確實是,那麼這可能是軟件的安全問題,而不是文件格式。
僅僅因爲你可以把惡意軟件到一個文本文件(記得iloveyou.vbs?),這並不意味着該文本文件本身具有:-)
ETA安全漏洞:的的UnicodeString問題屬性幫助搜索XPS文件內部:
UnicodeString屬性包含由當前元素表示的Unicode標量值的數組。指定一個Unicode字符串是RECOMMENDED,因爲它支持搜索,選擇和可訪問性。
雖然字符串本身預期會採用某種格式(在第115頁的標準中也有詳細說明),但觀衆不想接受您的輸入的原因是它甚至不是很好 - 由於&符號(&)顯示爲未轉義,因此形成了XML。如果按照XML的要求將&符號編碼爲&,我認爲它會起作用。該規範還指出,
標準XML轉義機制用於指定XML保留字符。
但即使這樣,UnicodeString屬性和文檔的其他部分之間的關系也相當複雜。他們寫了超過半頁,哪些組合是有效的,哪些不是。因此,我建議你先閱讀,然後再嘗試進一步遊戲:-)
1
p.95的XPS 1.0規範:「標準的XML轉義機制用於指定XML保留字符。」
'&'可能會導致麻煩。
相關問題
- 1. 將XPS文檔拆分爲多個XPS文檔
- 2. 轉換XPS文檔
- 3. 問號XPS文檔
- 4. DOC到XPS文件文檔
- 5. 壓縮現有的XPS文檔
- 6. 如何驗證XPS文檔?
- 7. 如何創建XPS文檔?
- 8. PDF文檔安全與文檔限制
- 9. 從XPS文檔中提取文本
- 10. PDF到XPS通過Microsoft XPS文檔寫入
- 11. 使用XPS查看器打開FlowDocument作爲XPS文檔保存?
- 12. 在Azure上安裝XPS文檔編寫器
- 13. LibreOffice文檔爲PDF安全
- 14. Symfony2安全組件文檔
- 15. CreateXpsDocumentWriter創建XPS或OXPS文檔嗎?
- 16. 截取PrintDialog到XPS文檔編寫器
- 17. WPF和XPS:空文檔查看器
- 18. 獲取的由XPS文檔作家
- 19. 如何在Access中顯示XPS文檔?
- 20. 在wpf中保存xps文檔爲.pdf
- 21. 如何即時創建xps文檔?
- 22. XPS - 使用圖像打印文檔
- 23. .NET庫將MS Word文檔轉換爲XPS文檔
- 24. 在文檔查看器中顯示XPS文檔
- 25. socket.io有多安全?
- 26. SSH有多安全?
- 27. PHP有多安全?
- 28. Interlocked.Exchange有多安全?
- 29. Elmah有多安全?
- 30. SimplePie有多安全?
+1好的答案放在一起。 – AnthonyWJones 2009-11-17 08:59:59
+1這是現貨! – nixps 2009-11-17 09:40:16
六星級選項在哪裏? +10從我 – OrElse 2009-11-17 10:30:48