次の方法で共有


CA5363:要求の検証を無効にしません

プロパティ
ルール ID CA5363
Title 要求の検証を無効にしません
[カテゴリ] Security
修正が中断か中断なしであるか なし
.NET 8 では既定で有効 いいえ

原因

クラスまたはメソッドの属性 ValidateInputfalse に設定されています。

規則の説明

要求の検証は、ASP.NET の機能の 1 つで、HTTP 要求を調べ、その要求にクロスサイトスクリプティングを含むインジェクション攻撃につながる可能性のある危険なコンテンツが含まれていないかどうかを確認します。

違反の修正方法

ValidateInput 属性を true に設定するか、完全に削除します。 または、AllowHTMLAttribute を使用して、入力の特定の部分で HTML を許可します。

どのようなときに警告を抑制するか

受信 HTTP 要求のすべてのペイロードが信頼されたエンティティから供給され、転送前または転送中に攻撃者によって改ざんされない場合は、この違反を抑制できます。

警告を抑制する

単一の違反を抑制するだけの場合は、ソース ファイルにプリプロセッサ ディレクティブを追加して無効にしてから、規則をもう一度有効にします。

#pragma warning disable CA5363
// The code that's violating the rule is on this line.
#pragma warning restore CA5363

ファイル、フォルダー、またはプロジェクトの規則を無効にするには、構成ファイルでその重要度を none に設定します。

[*.{cs,vb}]
dotnet_diagnostic.CA5363.severity = none

詳細については、「コード分析の警告を抑制する方法」を参照してください。

疑似コードの例

違反

次の擬似コード サンプルでは、この規則により検出されたパターンを示しています。 これにより、入力の検証が無効になります。

using System.Web.Mvc;

class TestControllerClass
{
    [ValidateInput(false)]
    public void TestActionMethod()
    {
    }
}

解決策

using System.Web.Mvc;

class TestControllerClass
{
    [ValidateInput(true)]
    public void TestActionMethod()
    {
    }
}