XPS文档有多安全？

Question

XPS文档有多安全？从光电子能谱文档内部查看后，找到Unicode-string属性。有人能给埃克斯注射吗。在Unicode字符串属性中的脚本？

XPS查看器如何处理Unicode字符串属性？作为一个符号集合还是什么？

更新：--我将以下字符串添加为UnicodeText

!@#$%^&*()_+ 

XPS查看器拒绝打开文件。这就是我为什么想到这个问题的原因。

Answer 1

XPS文档，而不是(咳嗽) 其他一些格式不能包含脚本或活动内容。它们仅用作一种高保真的预打印格式.尽管如此，XPS解析器并不完全不可能包含安全漏洞。它们可以被利用。不过，到目前为止，我还没有听说过任何这样的功绩。

但回到你的观点。如果有人想要将脚本放入XPS文档中的字符串中，他肯定可以这样做。他只是不应该指望它会被处决。如果有些软件真的这么做了，那么它可能是软件的安全问题，而不是文件格式的问题。

仅仅因为您可以将恶意软件放入文本文件(还记得iloveyou.vbs吗？)这并不意味着文本文件本身存在安全漏洞:-)

ETA:问题中的UnicodeString属性有助于在UnicodeString文件中搜索：

UnicodeString属性保存由当前元素表示的Unicode标量值数组。建议指定Unicode字符串，因为它支持搜索、选择和可访问性。

虽然字符串本身应该是一种特定的格式(在115页的标准中也有详细说明)，但是查看器不想接受您的输入的原因是它甚至都不是格式良好的XML，因为符号(&)看起来是没有转义的。我假设，如果按照XML的要求将符号编码为&，它就会工作。规范还规定：

标准的XML转义机制用于指定XML保留字符.

但是即使有了这一点，UnicodeString属性与文档的其他部分之间的关系也是相当复杂的。他们在上面写了半页以上，哪些组合是有效的，哪些不是。所以我建议你先读一读，然后再试着玩下去:-)

Answer 2

XPSO1.0规范的p.95：“标准的XML转义机制用于指定XML保留字符。”

“&”可能会带来麻烦。