WPF皮肤剥皮安全问题

如果您只是加载XAML而不采取任何预防措施,则有两个潜在问题:

1. XAML可以使用“x:Static”和“ObjectDataSource”调用对象上的方法
2. XAML可以合并HTML和来自任意uri的图像,因此如果HTML处理或图像处理代码中有bug,恶意软件就可以利用它

解决方案有两个方面:

2. 将Uri属性的设置仅限于相对源。

限制可以实例化的类

注意:内置的XamlReader不允许您提供自定义的IXamlTypeResolver。我使用了我编写的一个增强的XamlReader,它允许自定义的IXamlTypeResolver,因此我实际上可以在加载时和运行时检测XAML中引用的每一种类型,而无需进行任何解析:只是无法解析任何不在白名单上的类型。

限制Uri属性的设置

XAML的刚性结构再一次帮助了我们。它可以很容易地被扫描以确定将被调用的每个属性设置器以及要设置的值或绑定(不要忘记样式和附加属性)。如果使用包Uri以外的任何绝对Uri,则可以拒绝XAML。使用标记扩展设置Uri的尝试也会被拒绝。