.NET：XmlReaderSettings 中 ProhibitDtd 属性的用途是什么？为什么 DTD 是一个安全问题？

Question

文档说：

设置为 true 时，XmlReader 在遇到任何 DTD 内容时都会引发 XmlException。 如果您担心拒绝服务问题或正在处理不受信任的来源，请不要启用 DTD 处理。

如果启用了 DTD 处理，则可以使用 XmlSecureResolver 来限制 XmlReader 可以访问的资源。您还可以设计应用程序，使 XML 处理受到内存和时间的限制。例如，在 ASP.NET 应用程序中配置超时限制。

有人可以解释一下这个问题吗？

为什么读取器应用程序想要禁止检索 DTD？如果是阅读应用程序，拒绝服务问题在哪里？这里提到的“信任”问题是什么？

谢谢

Answer 1

请查看 MSDN 杂志，其中解释了与 DTD 相关的攻击。总之，我们可以创建一个相对较短的 XML 文件，当该文件由于 DTD 而扩展时，会消耗大量 MB 的 RAM，从而导致处理机资源不足。