Безопасны ли парсеры XML от инжекции XML External Entity (XML) в. NET Core?

Question

Я пытаюсь определить, уязвимо ли приложение. NET Core для XML атак с использованием внешних сущностей (XXE). Я прочитал этот OW ASP XXE Предотвращение ошибок , который говорит мне, например, что XmlDocument по умолчанию небезопасен в NET версиях Framework до 4.5.2. Я не могу найти подобную документацию для. NET Core версий. Я вижу, что. NET Core был выпущен в течение нескольких месяцев. NET Framework 4.6.2. Могу ли я поэтому предположить, что эти XML парсеры по умолчанию безопасны в. NET Core?

Answer 1

Парсеры XML, которые я тестировал, имеют те же характеристики в. NET Core 2.1, что и в. NET Framework 4.5.2 (по крайней мере, в отношении внедрения XXE). Чтобы ответить на конкретный пример c, который я привел в вопросе, XmlDocument небезопасен по умолчанию в. NET Framework 4.5.1, но безопасен по умолчанию в обоих. NET Framework 4.5.2 и. NET Core 2.1.

Чтобы убедиться в этом, я провел тестирование для. NET Framework 4.5.1 и 4.5.2 и. NET Core 2.1. Мой код и результаты доступны на GitHub .