¿Qué se puede definir como criterios de calidad para un esquema XML?

Si su objetivo es defenderse contra los ataques con bombas XML, un DTD o esquema especial no es la defensa correcta. La defensa más robusta es, probablemente, colocar límites de recursos en su analizador XML. Por ejemplo, ejecute su analizador XML en un proceso separado, con límites en la cantidad de memoria y tiempo de CPU que puede usar; si excede esos límites, elimine el analizador y trátela como una falla en analizar el documento XML.

Otra defensa plausible contra los ataques con bombas XML es evitar que los documentos XML definan entidades XML. Por ejemplo, deshabilite la definición en línea de esquemas DTD en sus documentos y evite la definición de entidades externas. Esto potencialmente se produce en una pérdida de funcionalidad, por lo que puede no ser una defensa aceptable. (Como alternativa, algunos analizadores XML pueden ofrecerle una manera de limitar la expansión de las entidades XML para evitar las bombas XML).

Si su objetivo es defenderse contra los ataques XSS, vuelva a formular la pregunta. Tampoco es probable que una DTD o esquema especial sea la defensa adecuada contra los ataques XSS, pero deberá explicar el problema con mayor claridad antes de que pueda dar mejores sugerencias para tratar con XSS.

  

defina algunos criterios de calidad, como verificar el tipo esperado, verificar la longitud esperada, verificar el rango esperado y etc.

Esto es lo que hace la DTD . Pero es válido o no lo es: si desea una escala móvil, deberá comparar el XML con múltiples DTD (aunque como un documento XML solo puede hacer referencia a un DTD, el término 'plantillas XML' podría ser más apropiado, aunque la sintaxis sería la misma).