给定一个 XML 文档,其中根节点使用 RSA+SHA2 签名进行签名,其中包含一个使用 RSA+SHA2 再次单独签名的 XML 元素,我发现:
- 根节点上的签名无效
- 子节点上的单独签名无效
将签名的子节点复制到新的 XML 文件中时,还将 xmlns: 声明移动到该节点以维护命名空间范围,我发现
- 签名有效
XML 结构类似于。在现实生活中,XML 是一个签名的 SAML2 ArtifactResolve 元素,其中包含一个签名的 SAML2 断言。
<Root id="_1">
<ds:Signature reference="_1" />
<Child id="_2">
<ds:Signature reference="_2" />
</Child>
</Root>
用于验证所有这些的代码非常简单,即 SignedXml 类。
SignedXml signedDocument = new SignedXml(document.DocumentElement);
signedDocument.LoadXml(GetSignatureElement(document.DocumentElement));
Console.WriteLine("Document valid: {0}",
signedDocument.CheckSignature(cert, true)); // returns false
我的主要问题是能够通过将节点复制到新的 XML 文件中来验证节点的奇怪行为。如果我通过 XPath 查询该节点并将其加载到 SignedXml 中,它将失败。
XmlElement element = (XmlElement)document.SelectSingleNode("//Child");
SignedXml signedDocument = new SignedXml(element);
signedDocument.LoadXml(GetSignatureElement(element));
Console.WriteLine("Element valid: {0}",
signedDocument.CheckSignature(cert, true)); // returns false
现在,如果 SignedXml 上有大量设置我可以搞砸,嘿,但没有那么多。加载 Xml,加载签名,验证。
任何人都知道为什么这种行为是这样的?已经尝试在 XmlDocument 上使用 PreserveWhitespace=true 但这没有帮助。
非常感激!
沃特