如何清理用户上传的工作流程？

Question

我有一个多租户应用程序，可以根据需要运行任意工作流程。

我计划使用工作流设计器来创建这些工作流，但即使我限制工具箱中的活动，也不能阻止恶意用户编辑自己的 XAML 文件，执行我不希望他们进行的活动（特别是调用.NET 框架）

对于给定的工作流程，我如何验证正在使用的唯一操作是我批准的操作？ XPath 查询是唯一的方法吗？或者 WF 中是否有功能可以验证这一点？

如果您需要对我正在寻找的内容进行直观介绍，这里是一个示例项目，视频 引用它。

Answer 1

我只需将工作流程加载到沙盒AppDomain中。您可以使用 SecurityManager 的 GetStandardSandbox 静态方法来设置起来相对容易（而且安全）。

当然，我还没有真正完成此操作，但我确实正在考虑将其中一些添加到我当前的 WF 代码中（该代码确实使用 AppDomains 将工作流的执行与我的应用程序隔离）。

Answer 2

您所能做的就是将 XAML 加载为 XML 并检查其中的内容。并确保检查输入的任何 VB 表达式，因为用户也可以在其中放入有趣的内容。