CA5389: Ne adja hozzá az archív elem elérési útját a cél fájlrendszer elérési útjához

Cikk
02/15/2024

Tulajdonság	Érték
Szabályazonosító	CA5389
Cím	Ne adja hozzá az archív elem elérési útját a cél fájlrendszer elérési úthoz
Kategória	Biztonság
A javítás kompatibilitástörő vagy nem törik	Nem törés
Alapértelmezés szerint engedélyezve a .NET 8-ban	Nem

Ok

Az alábbi paraméterek egyikében egy nem megtisztított forrásfájl elérési útja lesz a célfájl elérési útja:

metódus paramétere destinationFileNameZipFileExtensions.ExtractToFile
metódus paramétere pathFile.Open
metódus paramétere pathFile.OpenWrite
metódus paramétere pathFile.Create
konstruktor paramétere pathFileStream
konstruktor paramétere fileNameFileInfo

Ez a szabály alapértelmezés szerint a teljes kódbázist elemzi, de ez konfigurálható.

Szabály leírása

A fájl elérési útja relatív lehet, és a fájlrendszer a várt célelérési útvonalon kívülre is elérheti a fájlrendszert, ami kártékony konfigurációs módosításokhoz és távoli kódvégrehajtáshoz vezethet a lay-and-wait technikával.

Szabálysértések kijavítása

Ne használja a forrásfájl elérési útját a célfájl elérési útjának létrehozásához, vagy győződjön meg arról, hogy a kinyerési útvonal utolsó karaktere a könyvtárelválasztó karakter.

Mikor kell letiltani a figyelmeztetéseket?

Ezt a figyelmeztetést letilthatja, ha a forrás elérési útja mindig megbízható forrásból származik.

Figyelmeztetés mellőzése

Ha csak egyetlen szabálysértést szeretne letiltani, adjon hozzá előfeldolgozási irányelveket a forrásfájlhoz a szabály letiltásához és újbóli engedélyezéséhez.

#pragma warning disable CA5389
// The code that's violating the rule is on this line.
#pragma warning restore CA5389

Ha le szeretné tiltani egy fájl, mappa vagy projekt szabályát, állítsa annak súlyosságát none a konfigurációs fájlban.

[*.{cs,vb}]
dotnet_diagnostic.CA5389.severity = none

További információ: Kódelemzési figyelmeztetések letiltása.

Kód konfigurálása elemzéshez

A következő beállítások segítségével konfigurálhatja, hogy a kódbázis mely részein futtassa ezt a szabályt.

Adott szimbólumok kizárása
Adott típusok és származtatott típusok kizárása

Ezeket a beállításokat konfigurálhatja csak erre a szabályra, az összes szabályra, vagy az ebben a kategóriában szereplő összes szabályra (Biztonság), amelyekre vonatkozik. További információ: Kódminőségi szabály konfigurációs beállításai.

Adott szimbólumok kizárása

Bizonyos szimbólumokat, például típusokat és metódusokat kizárhat az elemzésből. Ha például meg szeretné adni, hogy a szabály ne fusson a nevesített MyTypetípusok egyikén sem, adja hozzá a következő kulcs-érték párot a projekt egyik .editorconfig fájljához:

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

Engedélyezett szimbólumnévformátumok a beállításértékben (a következővel |elválasztva):

Csak szimbólumnév (a névvel ellátott összes szimbólumot tartalmazza, függetlenül attól, hogy milyen típusú vagy névtérrel rendelkezik).
A szimbólum dokumentációazonosító-formátumában szereplő teljes nevek. Minden szimbólumnévhez szimbólum típusú előtag szükséges, például M: metódusokhoz, T: típusokhoz és N: névterekhez.
.ctor konstruktorok és .cctor statikus konstruktorok számára.

Példák:

Beállítás értéke	Összegzés
`dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType`	Megegyezik az összes elnevezett `MyType`szimbólummal.
`dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1\|MyType2`	Megegyezik az összes elnevezett `MyType1` szimbólummal vagy `MyType2`.
`dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType)`	Megfelel a megadott metódusnak `MyMethod` a megadott teljes jogosultsággal rendelkező aláírással.
`dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)\|M:NS2.MyType2.MyMethod2(ParamType)`	Egyezik az adott metódusokkal `MyMethod1` és `MyMethod2` a megfelelő, teljes mértékben minősített aláírásokkal.

Adott típusok és származtatott típusok kizárása

Bizonyos típusokat és azok származtatott típusait kizárhatja az elemzésből. Ha például meg szeretné adni, hogy a szabály ne fusson a nevesített MyType és származtatott típusok egyik metódusán sem, adja hozzá a következő kulcs-érték párot a projekt egyik .editorconfig fájljához:

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

Engedélyezett szimbólumnévformátumok a beállításértékben (a következővel |elválasztva):

Csak típusnév (a névvel rendelkező összes típust tartalmazza, függetlenül attól, hogy milyen típust vagy névteret tartalmaz).
A szimbólum dokumentációazonosító-formátumában szereplő teljes nevek opcionális T: előtaggal.

Példák:

Beállítás értéke	Összegzés
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType`	Megfelel az összes névvel ellátott `MyType` típusnak és az összes származtatott típusnak.
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1\|MyType2`	Megfelel az összes névvel ellátott `MyType1` típusnak, vagy `MyType2` az összes származtatott típusnak.
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType`	Egyezik `MyType` a megadott teljes névvel és az összes származtatott típusával.
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1\|M:NS2.MyType2`	Egyezik az adott típusokkal `MyType1` és `MyType2` a megfelelő teljes névvel, valamint az összes származtatott típussal.

Példa

Az alábbi kódrészlet a szabály által észlelt mintát mutatja be.

Megsértése:

using System.IO.Compression;

class TestClass
{
    public void TestMethod(ZipArchiveEntry zipArchiveEntry)
    {
        zipArchiveEntry.ExtractToFile(zipArchiveEntry.FullName);
    }
}

Solution

using System;
using System.IO;
using System.IO.Compression;

class Program
{
    static void Main(string[] args)
    {
        string zipPath = @".\result.zip";

        Console.WriteLine("Provide path where to extract the zip file:");
        string extractPath = Console.ReadLine();

        // Normalizes the path.
        extractPath = Path.GetFullPath(extractPath);

        // Ensures that the last character on the extraction path
        // is the directory separator char.
        // Without this, a malicious zip file could try to traverse outside of the expected
        // extraction path.
        if (!extractPath.EndsWith(Path.DirectorySeparatorChar.ToString(), StringComparison.Ordinal))
            extractPath += Path.DirectorySeparatorChar;

        using (ZipArchive archive = ZipFile.OpenRead(zipPath))
        {
            foreach (ZipArchiveEntry entry in archive.Entries)
            {
                if (entry.FullName.EndsWith(".txt", StringComparison.OrdinalIgnoreCase))
                {
                    // Gets the full path to ensure that relative segments are removed.
                    string destinationPath = Path.GetFullPath(Path.Combine(extractPath, entry.FullName));

                    // Ordinal match is safest, case-sensitive volumes can be mounted within volumes that
                    // are case-insensitive.
                    if (destinationPath.StartsWith(extractPath, StringComparison.Ordinal))
                        entry.ExtractToFile(destinationPath);
                }
            }
        }
    }
}

Megosztás a következőn keresztül: