.NET 7 中的重大变更：XmlSecureResolver 已过时

.NET 7 中的重大变更：XmlSecureResolver 已过时

docs This repository contains .NET Documentation. 项目地址: https://gitcode.com/gh_mirrors/docs2/docs

概述

在 .NET 7 中，XmlSecureResolver 类及其 GetEntity 方法已被标记为过时（obsolete）。这一变更会影响所有使用 XML 解析功能的应用程序，特别是那些依赖 XmlSecureResolver 进行安全资源解析的场景。

变更详情

旧行为回顾

在 .NET Framework 中，XmlSecureResolver 通过代码访问安全（CAS）沙箱机制来限制外部 XML 资源的解析过程。如果违反安全策略，会抛出 SecurityException。

在 .NET Core 3.1 和 .NET 6 中，XmlSecureResolver.GetEntity 方法实际上没有任何安全限制，会无条件地允许外部资源解析。

新行为变化

从 .NET 7 开始：

1. XmlSecureResolver.GetEntity 方法会无条件抛出 XmlException
2. 整个 XmlSecureResolver 类型被标记为过时，引用该类型会产生 SYSLIB0047 编译警告
3. 如果启用了"将警告视为错误"选项，会导致编译失败

影响范围

这一变更会影响：

• 源代码兼容性：需要修改现有代码
• 二进制兼容性：已编译程序集可能需要重新编译

变更原因

微软做出这一变更主要是出于安全考虑：

1. 旧实现存在安全隐患（.NET Core 中完全无限制）
2. 新的实现采用了"安全失败"（fail-safe）原则
3. 统一 .NET 平台的安全策略

迁移建议

推荐使用新的 XmlResolver.ThrowingResolver 静态属性替代：

// 旧代码（不推荐）
// XmlResolver resolver = new XmlSecureResolver(
//     resolver: new XmlUrlResolver(),
//     securityUrl: "https://www.example.com/");

// 新代码（推荐）
XmlResolver resolver = XmlResolver.ThrowingResolver;

ThrowingResolver 提供了更安全的行为模式，它会明确禁止所有外部资源解析。

开发者注意事项

1. 如果应用需要解析外部 XML 资源，需要重新设计安全策略
2. 考虑使用自定义的 XmlResolver 实现来满足特定需求
3. 对于需要沙箱环境的场景，建议使用 .NET 的其他安全机制

总结

这一变更是 .NET 安全演进的一部分，开发者应该尽快评估现有代码并完成迁移。虽然短期内可能需要一些工作来适应这一变更，但从长远来看，这将有助于构建更安全的 .NET 应用程序生态系统。

docs This repository contains .NET Documentation. 项目地址: https://gitcode.com/gh_mirrors/docs2/docs