WCF readerQuotas设置-缺点？

Question

如果WCF服务在其响应消息中返回一个字节数组，则数据有可能超过默认的16384字节长度。当这种情况发生时，例外情况将类似于

读取XML数据时超过了最大数组长度配额(16384)。可以通过更改在创建XML读取器时使用的MaxArrayLength对象上的XmlDictionaryReaderQuotas属性来增加此配额。

我在网上看到的所有建议就是将<readerQuotas>元素中的设置增加到最大，如下所示

<readerQuotas maxDepth="2147483647" maxStringContentLength="2147483647"
              maxArrayLength="2147483647" maxBytesPerRead="2147483647"
              maxNameTableCharCount="2147483647" />

在服务器上，在客户机上也是如此。

我想知道这种方法是否有任何缺点，特别是如果字节数组的大小有时会变得非常大的话。上面的设置是否使WCF为每个请求声明了一个巨大的数组？您是否必须限制返回数据的最大大小，还是只需指定一个大小合理的缓冲区，并使WCF继续运行直到读取所有数据？

谢谢!

Answer 1

主要的缺点是潜在的攻击漏洞--例如，恶意源现在可以用2GB大小的消息淹没您的and服务器，并可能导致其崩溃。

当然，允许2GB消息也会给服务器带来内存消耗方面的压力，因为这些消息需要完整地组装在内存中(除非在WCF中使用流协议)。如果有10个客户端发送2GB消息，那么服务器上就需要大量的RAM！:-)

除此之外，我看不出任何真正的问题。

Marc

Answer 2

有一篇关于MSDN的文章解释了在设置这些值时需要考虑的各种安全问题。有些拒绝服务攻击占用了您的内存，其中一些攻击(如MaxDepth设置不当)可能导致致命的StackOverflowExceptions，这可能会在一个请求中使服务器崩溃。

http://msdn.microsoft.com/en-us/library/ms733135.aspx