XPathDocument对象提供了一种非常方便的加载XML资源的方法,只要被访问的资源路径正确并且当前进程有权限进行访问,则可以直接通过该对象的构造函数加载XML文件,然后以面向对象的方式对XML文件进行操作。如果要访问的XML文件拒绝当前进程以匿名身份进行访问,我们可以通过设置XML文件的访问级别或者赋予程序以更高的安全级别运行来解决这个问题。但是如果要访问的XML文件是外部资源并且我们无权修改访问安全级别,则下面两种方法可以用来尝试。
<a href="http://images.cnblogs.com/cnblogs_com/jaxu/201104/20110429001831961.png"></a>
方法一:尝试使用资源物理路径进行访问
下面的代码通过Server.MapPath方法将资源的URL转换为服务器上的物理路径,然后使用XPathDocument对象的构造函数进行加载。
1 string url = "http://www.example.com/resource/demo.xml";
2 string sAbsolutePath = HttpContext.Current.Server.MapPath(Server.UrlDecode(url));
3 XPathDocument oXPathDocument = new XPathDocument(sAbsolutePath);
注意URL中可能包含经过转义后的字符,所以需要通过Server.UrlDecode方法进行decode操作。
方法二:尝试以特定用户的身份访问资源
下面的代码演示了以当前系统用户身份访问XML资源。
<a></a>
2
3 HttpWebRequest request = (HttpWebRequest)WebRequest.Create(new Uri(url));
4 request.Credentials = CredentialCache.DefaultNetworkCredentials;
5
6 HttpWebResponse response = (HttpWebResponse)request.GetResponse();
7 StreamReader sr = new StreamReader(response.GetResponseStream(), Encoding.UTF8);
8 XPathDocument oXPathDocument = new XPathDocument(sr);
当然你也可以以特定的用户进行访问,如:
request.Credentials = new NetworkCredential("userName", "password", "domain");
这样便可以提高当前程序访问XML外部资源的权限。
本文转自Jaxu博客园博客,原文链接:http://www.cnblogs.com/jaxu/archive/2011/04/29/2032335.html,如需转载请自行联系原作者
![sqli-labs第一关--报错注入练习[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)