在使用WCF安全使用Web服务的文档中,他们声明建议您在使用元数据时禁止DTD。为什么DTD存在安全风险?
答案 0 :(得分:3)
http://msdn.microsoft.com/en-us/magazine/ee335713.aspx
防御所有类型的XML实体攻击的最简单方法是 简单地完全禁用XML中的内联DTD模式 解析对象。这是一个直截了当的应用 攻击面减少原理:如果你没有使用某个功能, 将其关闭,以便攻击者无法滥用它。
答案 1 :(得分:0)
在这种情况下,存在已知的拒绝服务攻击(参见andrews回答)
然而,几乎所有减少攻击面的东西都会提高安全性。