如何防止 .NET 中的 XPath/XML 注入

2024-05-27

如何防止 .NET Framework 中的 XPATH 注入？

我们之前使用字符串连接来构建 XPATH 语句，但发现最终用户可以执行一些任意 XPATH。例如：

string queryValue = "pages[@url='" + USER_INPUT_VALUE + "']";
node = doc.DocumentElement.SelectSingleNode(queryValue);

从输入字符串中删除单引号和双引号就足够了吗？

或者，.NET 框架是否支持参数化 XPATH 查询？

防止 XPath 注入的主要思想是预编译要使用的 XPath 表达式并允许其中包含变量（参数），这些变量在评估过程中将被用户输入的值替换.

In .NET:

预编译您的 XPath 表达式XPathExpression.Compile() http://msdn.microsoft.com/en-us/library/ms163317.aspx.
Use the XPathExpression.SetContext() http://msdn.microsoft.com/en-us/library/0cs084hw.aspx Method指定为上下文Xslt上下文 http://msdn.microsoft.com/en-us/library/system.xml.xsl.xsltcontext.aspx将某些特定变量解析为用户输入的值的对象。

您可以阅读有关如何计算包含变量的 XPath 表达式的更多信息here http://msdn.microsoft.com/en-us/library/dd567715.aspx.

本文包含良好且完整的示例。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

NET

xml

xpath

codeinjection

如何防止 .NET 中的 XPath/XML 注入的相关文章

.NET“默认行终止符”？

有什么方法可以弄清楚 NET 使用什么作为其默认行终止符例如 StringBuilder AppendLine String 的文档表示附加指定字符串的副本后跟默认行终止符 NET 中的几个与文本相关的类引用相同的概念有什么方法可
XSD 嵌套元素
如何实例化 ODataQueryOptions

我有一个工作简化 ODataController用下面的方法 public class MyTypeController ODataController HttpGet EnableQuery ODataRoute myTypes pub
HttpWebRequest/HttpResponse：如何在响应中发送数据？

我有一个客户端和一个服务器在客户端我有 HttpWebRequest request HttpWebRequest WebRequest Create http localhost fa Default aspx request Meth
如何在C#背后的代码中动态创建数据模板并绑定TreeView分层数据

我有一个场景其中树视图动态更改其数据模板和数据绑定定义我在 XAML 中创建了一个树视图如下所示
如何拦截 Boo 中的方法调用？

红宝石有method missing Python有getattr Boo 是否提供了一些可以用来拦截方法调用的东西是的布有IQuackFu http docs codehaus org pages viewpage action pa
时间跨度格式[重复]

这个问题在这里已经有答案了当您将时间跨度声明为以下形式时如何优雅地格式化时间跨度以表示 1 小时 10 分钟 TimeSpan t new TimeSpan 0 70 0 我当然知道你可以为此做一些简单的数学计算但我有点希望 NET
在 Azure DevOps 中为 Wix MSI 文件生成 GUID

我正在为 Web 服务器应用程序和 Sitecore 前端应用程序设置 Wix 安装程序我的问题并非特定于 Web 服务器或 Sitecore 我的问题是 Wix 以及如何使用它进行持续交付 1 Wix 需要每个文件和产品本身的 GUID
在 XSLT 中使用“<”而不是简单的“<”进行比较有什么大不了的？

好的在 XSLT 中我经常看到
如何有效确保小数值至少有 N 位小数

我想在进行算术运算之前有效地确保十进制值至少有 N 个位置在下面的示例中 3 显然我可以格式化 0 000 然后解析但它的效率相对较低我正在寻找一种避免与字符串转换的解决方案我尝试过以下解决方案 decimal d 1 23M d
将不均匀的层次列表转换为数据框

我认为还没有有人问过这个问题但是有没有一种方法可以将具有多个级别和不均匀结构的列表的信息组合成长格式的数据帧具体来说 library XML library plyr xml inning lt http gd2 mlb com c
如何在C#中从XML读取键值

我有下面的 xml 格式文件名为 ResourceData xml
C# 和匿名对象数组

这样的表达是什么意思呢 obj DataSource new new Text Silverlight Count 10 Link Tags Silverlight new Text IIS 7 Count 11 Link http iis
以编程方式设置 maxRequestLength

有一个配置值叫做maxRequestLength 在配置文件中它看起来像这样
自定义代码访问安全属性

我创建了以下属性 Serializable AttributeUsage AttributeTargets Class AttributeTargets Method AllowMultiple true Inherited true pu
为什么两个不同的 Base64 字符串的转换会返回相等的字节数组？

我想知道为什么从 base64 字符串转换会为不同的字符串返回相同的字节数组 const string s1 dg const string s2 dq byte a1 Convert FromBase64String s1 byte a2
WCF 中 SOAP 消息的数字签名

我在 4 0 中有一个 WCF 服务我需要向 SOAP 响应添加数字签名我不太确定实际上应该如何完成我相信响应应该类似于下面的链接中显示的内容 https spaces internet2 edu display ISWG Signe
垃圾收集器是否在单独的进程中运行？

垃圾收集器是否在单独的进程中启动例如如果我们尝试测量某段代码所花费的进程时间并且在此期间垃圾收集器开始收集它会在新进程上启动还是在同一进程中启动它的工作原理如下吗 Code Process 1 gt Garbage Collect
使用 x509 证书签署 json 文档或字符串

如何使用 x509 证书签署 json 文档或字符串 public static void fund string filePath C Users VIKAS Desktop Data xml Read the file XmlDocum
使用 xpath 和 vtd-xml 以字符串形式获取元素的子节点和文本

这是我的 XML 的一部分

随机推荐

防止Rails Turbolinks导致Google地图JS多次执行

我目前正在开发 Rails 应用程序但出现以下错误您已在此页面上多次包含 Google Maps API 这可能会导致意外错误经过一番研究后我发现 Turbolinks 导致了这个问题当的时候link to单击后 Google
IIS 7.5 HTTP 500.19 内部服务器错误配置无效

我使用的是 Windows 2008 R2 和 IIS 7 5 并将我的网站源映射到网络驱动器当我这样做时会出现以下错误当指向本地 c 驱动器时网站可以正常工作 Error Summary HTTP Error 500 19 Int
拖动调整 NSView（或其他对象）的大小

我正在尝试构建一个应用程序允许用户使用可以调整大小的矩形边界框来指定图像的多个区域到目前为止我已经有一个NSScrollView其中包含一个NSImageView这样用户就可以放大图像并根据需要滚动我目前的想法是我可以使用NSVie
如何在 Windows 上检查子进程是否被信号杀死

问题给定一个在 python 中启动的子进程其代码类似于 import subprocess p subprocess Popen command stdout subprocess PIPE stderr subprocess PIP
shell解析json并循环输出组合变量

杰斯克喜欢我之前的话题 https stackoverflow com questions 74063588 shell parsing json contains spaces in string 我知道如何解析带有空格的简单 json
我有进程 ID，需要使用 Delphi 5 以编程方式关闭关联进程

任何人都可以帮我提供一个编码示例以便在我拥有进程 ID 时关闭关联的进程我将使用 Delphi 5 在 Windows 2003 服务器上以编程方式执行此操作如果您有进程 ID 并希望强制终止该进程可以使用以下代码 function
如何在我的应用程序中取消授权/撤销 LinkedIn 令牌

我有一个 grails 应用程序我希望用户授予我访问他她的 LinkedIn 帐户的权限以获取信息并以不同的方式显示信息我能够执行以下操作获取授权码使用该授权码获取访问令牌我将该访问令牌与到期日期一起存储在我的用户实体中当过
使用 C# 使用证书进行 SSL 客户端身份验证

我需要创建一个 C 应用程序该应用程序必须使用 SSL 向服务器发送 API 请求我需要创建客户端身份验证我已经拥有服务器 CA 证书客户端证书 cer 客户端私钥 pem 和密码我找不到有关如何创建客户端连接的示例有人可以建议
将 mod-rewrite 添加到现有 PHP 网站

我正在更新一个 php 应用程序该应用程序当前不使用 url 重写目的是隐藏文件扩展名网站总体结构如下 root index php login php page1 php page2 php page3 php page4 php
Scikit-learn：如何获得 True Positive、True Negative、False Positive 和 False Negative

我的问题我有一个数据集它是一个很大的 JSON 文件我读取它并将其存储在trainList多变的接下来我对其进行预处理以便能够使用它完成后我开始分类我用kfold交叉验证方法以获得平均值准确性并训练分类器我做出预测并获
当用户使用相同的凭据登录两次时如何使用户会话无效

我正在使用带有 Richfaces 和 Facelets 的 JSF 1 2 我有一个应用程序其中包含许多会话范围的 Bean 和一些应用程序 Bean 假设用户使用 Firefox 登录创建一个会话 ID A 然后他打开 Chrome
如何在 IIS 中将 WCF 与 basichttpbinding only、SSL 和基本身份验证结合使用？

是否可以仅使用 IIS 中的 SSL 和基本身份验证来设置 WCF 服务BasicHttpBinding binding 我无法使用wsHttpBinding binding 该站点托管在 IIS 7 上并设置了以下身份验证匿名访问 O
文件是为存档而构建的，这不是正在链接的体系结构（i386）

我必须构建静态库我想在我的 iPhone 和 iPad 应用程序中使用当我尝试运行模拟器时出现链接错误我是 iOS 开发新手请帮忙 ld 警告忽略文件 Users valuelabs Desktop DruvaProject l
如何将返回列表的 Celery 任务链接到一个组中？

我想从 Celery 任务返回的列表创建一个组以便对于任务结果集中的每一项一个任务将添加到该组中这是一个简单的代码示例来解释用例这应该是上一个任务的结果 celery task def get list amount In rea
Knuth-Morris-Pratt 算法

解决方案是Knuth Morris Pratt 算法 https en wikipedia org wiki Knuth E2 80 93Morris E2 80 93Pratt algorithm 干草堆 AAAAAAAAA 针 AAA
在数据库中存储差异的最紧凑方式是什么？

我想实现类似于维基媒体的修订历史的东西最好使用的 PHP 函数库扩展算法是什么我希望差异尽可能紧凑但我很高兴只能显示每个修订版与其同级修订版之间的差异并且一次只能回滚一个修订版在某些情况下只有几个字符可能会发生变化而在其
致命错误：向量：没有这样的文件或目录

我有一个 Android 项目其中包含大量 C 本机代码但是我无法构建我的库因为它无法找到 vector h 头文件可能是什么问题我在几乎所有页面中包含的示例 include
sqlalchemy 中的随机 ID（pylon）

我正在使用 pylons 和 sqlalchemy 我想知道如何将一些随机 id 作为primary key 最好的方法是使用随机生成的 UUID import uuid id uuid uuid4 uuid 数据类型在某些数据库中本机可用
Spring Oauth2 - 每个客户端 ID 多个令牌

我们使用 spring oauth2 实现了服务器 API 我注意到即使从不同的设备调用服务器也会为每个用户客户端 ID 组合生成相同的令牌这会导致问题因为我的客户可以运行多个实例例如Android 和 iOS 应用程序我需要
如何防止 .NET 中的 XPath/XML 注入

如何防止 NET Framework 中的 XPATH 注入我们之前使用字符串连接来构建 XPATH 语句但发现最终用户可以执行一些任意 XPATH 例如 string queryValue pages url USER INPUT V

如何防止 .NET 中的 XPath/XML 注入

如何防止 .NET 中的 XPath/XML 注入 的相关文章

随机推荐

热门标签

如何防止 .NET 中的 XPath/XML 注入的相关文章