XML注入C＃

2017-02-27 61 views 0 likes

XmlDocument doc = new XmlDocument(); 
doc.LoadXml(template); 
XmlElement list = doc.CreateElement(conn.XmlListTagName); 
foreach (EaiItem updateItem in itemList) 
{ 
    XmlElement item = doc.CreateElement(conn.XmlItemTagName); 
    foreach(String itemAttrib in updateItem.ItemAttributes.Keys) 
    { 
     item.SetAttribute(itemAttrib, updateItem.ItemAttributes[itemAttrib]); 
    } 
    item.InnerXml = updateItem.ItemFieldXml; 
    list.AppendChild(item); 
} 
doc.LastChild.AppendChild(list);

Fortify的工具在下面的代碼XML注入C＃

item.InnerXml = updateItem.ItemFieldXml;

如何防止XML注入問題顯示XML注入？

來源

2017-02-27 user3089816

問題是什麼？我假設'ItemFieldXml'包含要插入到文檔中的XML，作爲'item'元素的子XML片段？或者你想把它存儲爲'CDATA'？ – Dai

回答

如果您ItemFieldXml應該在你的XML，而不是被存儲爲CDATA爲實際 XML的，然後使用XmlDocument.CreateCDataSection：

所以不是這樣的：

item.InnerXml = updateItem.ItemFieldXml; 
list.AppendChild(item);

這樣做：

XmlCDataSection cdata = doc.CreateCDataSection(updatedItem.ItemFieldXml); 
item.AppendChild(cdata); 
list.AppendChild(item);

這將呈現爲：

<item> 
<![CDATA[ 
<foo>embedded XML that is escaped!</foo> 
]]> 
</item>

<foo>文本將而不是通過符合XML解析器被解釋爲實際的XML。

另一種方法是創建一個文本節點其中，尖括號將被轉換爲XML實體<，>，和``& though using CDATA`效率會更高，如果你有很多尖括號的，因爲它使用較少空間。

item.InnerText = updatedItem.ItemFieldXml; 
list.AppendChild(item);

這將作爲渲染：

<item> 
&lt;foo&gt;embedded XML that is escaped!&lt;/foo&gt; 
</item>

來源

2017-02-27 19:39:55 Dai

相關問題

11. C＃依賴注入
12. 從C寫入xml＃
13. 任何將C＃XML註釋轉換爲C＃註釋的方法？
14. 在C＃代碼中自動插入xml註釋的工具
15. C＃編程的XML註釋提示
16. c＃使用XDocument讀取XML註釋
17. c＃xml代碼註釋文件參考
18. 使用C + libxml ++添加XML註釋
19. 在C＃中讀取XML註釋
20. C++ XML註釋生成MSDN樣式CHM
21. C＃註冊表導入
22. C++，Winsocket DLL發送注入
23. C＃依賴注入框架
24. C＃依賴注入問題
25. C＃彙編注入檢查
26. C++中的依賴注入
27. 如何從C＃注入JavaScript？
28. 阻止SQL注入C
29. C++ - CreateRemoteThread DLL注入[Windows 7]
30. c＃mvc DI注入庫