XPS 文档的安全性如何？

Question

XPS 文档的安全性如何？从 XPS 文档内部查看后，找到了 Unicode-string 属性。有人可以将脚本注入到 Unicode 字符串属性中吗？

XPS 查看器如何处理 Unicode 字符串属性？作为字形的集合还是什么？

更新：我将以下字符串添加为 UnicodeText

!@#$%^&*()_+ 

，但 XPS 查看器拒绝打开该文件。这就是我想到这个问题的方式

Answer 1

XPS 文档，与（咳嗽）不同，某些其他格式不能包含脚本或活动内容。它们仅用作高保真预打印格式。话虽这么说，XPS 解析器包含安全漏洞并非完全不可能。他们可能会被利用。不过，到目前为止我还没有听说过任何此类漏洞。

但回到你的观点。如果有人想将脚本放入 XPS 文档中的字符串中，他当然可以这样做。他只是不应该指望它会被执行。如果某些软件实际上这样做，那么这可能是该软件的安全问题，而不是文件格式的问题。

仅仅因为您可以将恶意软件放入文本文件中（还记得 iloveyou.vbs 吗？），并不意味着文本文件本身存在安全漏洞:-)

ETA： 相关 UnicodeString 属性有助于在内部进行搜索XPS 文件：

UnicodeString 属性保存由当前元素表示的 Unicode 标量值的数组。建议指定 Unicode 字符串，因为它支持搜索、选择和可访问性。

虽然字符串本身应该采用某种格式（在第 115 页的标准中也有详细说明），但查看者不想接受您的输入的原因是它甚至不是格式良好的 XML，因为与符号 ( &) 显示为未转义。我认为如果按照 XML 的要求将 & 符号编码为 & ，它就会起作用。该规范还指出

标准 XML 转义机制用于指定 XML 保留字符。

但即使这样，UnicodeString 属性与文档其他部分之间的关​​系也相当复杂。他们用了半页多的篇幅来阐述哪些组合有效，哪些组合无效。所以我建议你先阅读一下，然后再尝试进一步:-)

Answer 2

XPS 1.0 规范第 95 页：“标准 XML 转义机制用于指定 XML 保留字符。”

'&'可能会带来麻烦。