在有关使用WCF安全使用Web服务的文档中,他们声明建议您在使用元数据时禁止DTD。为什么DTD存在安全风险?为什么在使用.Net WCF等Web服务时禁止使用DTD?
http://msdn.microsoft.com/en-us/library/ms734741.aspx
在有关使用WCF安全使用Web服务的文档中,他们声明建议您在使用元数据时禁止DTD。为什么DTD存在安全风险?为什么在使用.Net WCF等Web服务时禁止使用DTD?
http://msdn.microsoft.com/en-us/library/ms734741.aspx
http://msdn.microsoft.com/en-us/magazine/ee335713.aspx
抵御所有类型的XML实体攻击最简单的方法是 简单地完全禁用你的XML解析 对象使用内嵌DTD架构的。这是攻击面减少原理的一个简单应用:如果你没有使用某项功能,那么 会关闭它,以便攻击者不会滥用它。
在这种情况下,有服务的已知漏洞拒绝(见安德鲁斯答案)
然而,几乎所有的东西,减少攻击面将提高安全性。
+1我喜欢这篇文章。 – 2010-09-06 14:55:02
:o)谢谢,我刚刚有一个朋友给我发了同样的文章。这是一个很好的。 – 2010-09-06 15:05:39
哦,你是朋友哈哈 – 2010-09-06 15:06:04