CA5366: 데이터 세트 읽기 XML에 XmlReader 사용
속성 | 값 |
---|---|
규칙 ID | CA5366 |
타이틀 | 데이터 세트 읽기 XML에 XmlReader를 사용하세요. |
범주 | 보안 |
수정 사항이 주요 변경인지 여부 | 주요 변경 아님 |
.NET 8에서 기본적으로 사용 | 아니요 |
원인
DTD(문서 종류 정의)는 XML 문서의 구조와 법률 요소 및 특성을 정의합니다. 외부 리소스에서 DTD를 참조하면 잠재적인 DoS(서비스 거부) 공격이 발생할 수 있습니다. 대부분의 판독기는 DTD 처리를 사용하지 않도록 설정하지 않고 System.Xml.XmlReader를 제외한 외부 참조 로드를 제한합니다. 이러한 다른 판독기를 사용하여 다음 메서드 중 하나로 XML을 로드하면 이 규칙이 트리거됩니다.
규칙 설명
System.Data.DataSet를 사용하여 신뢰할 수 없는 데이터가 있는 XML을 읽으면 위험한 외부 참조가 로드될 수 있으며 XmlReader를 안전한 확인자와 함께 사용하거나 DTD 처리를 사용하지 않도록 설정한 상태로 사용하여 이를 제한해야 합니다.
위반 문제를 해결하는 방법
XmlReader 또는 해당 파생 클래스를 사용하여 XML을 읽습니다.
경고를 표시하지 않는 경우
신뢰할 수 있는 데이터 소스를 처리하는 경우 이 규칙의 경고를 표시하지 않아도 됩니다.
경고 표시 안 함
단일 위반만 표시하지 않으려면 원본 파일에 전처리기 지시문을 추가하여 규칙을 사용하지 않도록 설정한 후 다시 사용하도록 설정합니다.
#pragma warning disable CA5366
// The code that's violating the rule is on this line.
#pragma warning restore CA5366
파일, 폴더 또는 프로젝트에 대한 규칙을 사용하지 않도록 설정하려면 구성 파일에서 심각도를 none
으로 설정합니다.
[*.{cs,vb}]
dotnet_diagnostic.CA5366.severity = none
자세한 내용은 방법: 코드 분석 경고 표시 안 함을 참조하세요.
의사 코드 예제
위반
using System.Data;
using System.IO;
public class ExampleClass
{
public void ExampleMethod()
{
new DataSet().ReadXml(new FileStream("xmlFilename", FileMode.Open));
}
}
해결 방법
using System.Data;
using System.IO;
using System.Xml;
public class ExampleClass
{
public void ExampleMethod()
{
new DataSet().ReadXml(new XmlTextReader(new FileStream("xmlFilename", FileMode.Open)));
}
}
.NET
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기