CA5370: Okuyucu doğrulama için XmlReader kullanma
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA5370 |
| Başlık | Okuyucuyu doğrulamak için XmlReader kullanma |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 8'de varsayılan olarak etkin | Hayır |
Neden
Nesne olmadan XmlReader örneği oluşturulmuş sınıfla güvenilmeyen XML girişinin XmlValidatingReader doğrulanması hizmet reddine, bilgilerin açığa çıkmasına ve sunucu tarafı istek sahteciliğine yol açabilir. Bu saldırılar, XML bombalarının ve kötü amaçlı dış varlıkların XML'ye eklenmesini sağlayan güvenilmeyen DTD ve XML şeması işleme tarafından etkinleştirilir. Yalnızca ile DTD'yi XmlReader devre dışı bırakmak mümkündür. 4.0 sürümünden ProhibitDtd itibaren .NET Framework'te ve ProcessInlineSchema özelliği varsayılan olarak olarak ayarlanmış false olarak satır içi XML şeması işlemeXmlReader.
Kural açıklaması
Güvenilmeyen DTD ve XML şemalarının işlenmesi tehlikeli dış başvuruların yüklenmesini sağlayabilir. Bu tehlikeli yükleme, güvenli bir çözümleyici ile veya DTD ve XML satır içi şema işleme devre dışı bırakılarak kısıtlanabilir XmlReader . Bu kural, oluşturucu parametresi olmadan XmlReader sınıfını XmlValidatingReader kullanan kodu algılar.
İhlalleri düzeltme
- ve
ProcessInlineSchemaözellikleri olarak ayarlanmış olarakProhibitDtdfalsekullanınXmlValidatingReader(XmlReader). - .NET Framework 2.0'dan başlayarak kullanım
XmlValidatingReaderdışı olarak kabul edilir. ile XmlReader.Createdoğrulayıcı bir okuyucu örneği oluşturabilirsiniz.
Uyarıların ne zaman bastırılması gerekiyor?
her zaman güvenilir bir kaynaktan gelen XML'i doğrulamak için kullanılırsa ve bu nedenle üzerinde oynanamazsa XmlValidatingReader bu uyarıyı gizleyebilirsiniz.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA5370
// The code that's violating the rule is on this line.
#pragma warning restore CA5370
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini noneolarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA5370.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
Ihlal
Aşağıdaki sahte kod örneği, bu kural tarafından algılanan deseni gösterir.
İlk parametresinin XmlValidatingReader.XmlValidatingReader() türü değildir XmlReader.
using System;
using System.IO;
using System.Xml;
...
public void TestMethod(Stream xmlFragment, XmlNodeType fragType, XmlParserContext context)
{
var obj = new XmlValidatingReader(xmlFragment, fragType, context);
}
Çözüm
using System;
using System.Xml;
...
public void TestMethod(XmlReader xmlReader)
{
var obj = new XmlValidatingReader(xmlReader);
}
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin