Compartilhar via

Segurança dos modelos de texto

  • Artigo

Modelos de texto têm as seguintes questões de segurança:

  • Modelos de texto são vulneráveis a inserções de código arbitrário.

  • Se o mecanismo que o host o utiliza para localizar um processador de diretriz não é seguro, um processador de diretriz mal-intencionado poderia ser executado.

Código arbitrário

Quando você escreve um modelo, você pode colocar qualquer código dentro de <> # marcas de formatação.Isso permite que um código arbitrário seja executado de dentro de um modelo de texto.

Certifique-se de que obter modelos de fontes confiáveis.Certifique-se de avisar os usuários finais do seu aplicativo para não executar modelos que não vêm de fontes confiáveis.

Processador de diretiva mal-intencionado

O mecanismo de modelo de texto interage com um host de transformação e um ou mais processadores de diretriz para transformar o texto do modelo para um arquivo de saída.Para obter mais informações, consulte O processo de transformação do modelo de texto.

Se o mecanismo que o host o utiliza para localizar um processador de diretriz não é seguro, ele corre o risco de executando um processador de diretriz mal-intencionado.Processador de diretriz mal-intencionado poderia fornecer código que é executado em FullTrust modo, quando o modelo é executado.Se você criar um host de transformação do modelo de texto personalizado, você deve usar um mecanismo seguro, como o registro, para o mecanismo localizar os processadores de diretriz.