编辑:我注意到错误不仅发生在五个XML保留字符上,而且还发生在其他特殊字符上。
我正在使用SAML请求获取STS令牌时遇到问题。
SAML请求以XML格式。如果随请求发送的密码包含XML保留的字符,则登录失败。我试图转义字符(&= &)或使用CDATA
([lBuilder.Append('<o:Password type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText"><![CDATA[').Append(lPassword).Append(']]></o:Password>');)
但是显然密码不能正确识别,并且登录仍然失败。如果我使用CDATA,则即使使用有效的密码登录也失败了。该请求通过后命令发送到https://login.microsoftonline.com/RST2.srf(cDefaultSTS)。
是否有一种方法可以正确地转义密码中的特殊字符而不会发生冲突?代码是用Delphi编写的,我正在使用以下客户端设置来发送post命令(lSAMLRequestStream包含XML格式的请求)。
lConnection.Client.Accept := '*/*';
lConnection.Client.AcceptLanguage := 'en-US';
lConnection.Client.UserAgent := 'Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3)';
lConnection.Client.ContentType := 'application/soap+xml';
lConnection.Client.HandleRedirects := True;
lConnection.Client.AcceptEncoding := '';
lSTSResponse := lConnection.Post(cDefaultSTS, lSAMLRequestStream);
我使用Microsoft.SharePoint库在C#中尝试了相同的操作,但是如果密码包含保留字符之一,则身份验证仍然会失败。转义在这里也不起作用。
using (ClientContext clientContext = new ClientContext("https:[email protected]"))
{
var passWord = new SecureString();
string passwrd = "Password&";
string encodedXml = HttpUtility.HtmlEncode(passwrd);
foreach (char c in encodedXml.ToCharArray()) passWord.AppendChar(c);
clientContext.Credentials = new SharePointOnlineCredentials("[email protected]",passWord);
Web web = clientContext.Web;
Console.WriteLine(clientContext.Site);
clientContext.Load(web);
clientContext.ExecuteQuery();
Console.WriteLine(web.Title);
Console.ReadLine();
}
通过CDATA标签进行转义实际上是解决方案,并且可以正常工作。我使用的测试帐户还有一个额外的问题,那就是由于密码的原因,它似乎仍然失败。顺便说一下,C#代码不需要任何其他转义。