CA5363: Jangan nonaktifkan validasi permintaan
| Properti | Nilai |
|---|---|
| ID Aturan | CA5363 |
| Judul | Jangan nonaktifkan validasi permintaan |
| Golongan | Keamanan |
| Perbaikan bersifat disruptif atau non-disruptif | Non-disruptif |
| Diaktifkan secara default di .NET 9 | No |
Penyebab
Atribut ValidateInput diatur ke false untuk kelas atau metode.
Deskripsi aturan
Validasi permintaan adalah fitur di ASP.NET yang memeriksa permintaan dan menentukan apakah permintaan tersebut berisi konten yang berpotensi berbahaya yang dapat menyebabkan serangan injeksi, termasuk scripting lintas situs.
Cara memperbaiki pelanggaran
Atur atribut ke ValidateInputtrue atau hapus sepenuhnya. Atau, gunakan AllowHTMLAttribute untuk mengizinkan HTML di bagian tertentu dari input.
Kapan harus menekan peringatan
Anda dapat menekan pelanggaran ini jika semua payload dalam permintaan HTTP masuk bersumber dari entitas tepercaya dan tidak dapat dirusak oleh iklan sebelum atau selama transportasi.
Menyembunyikan peringatan
Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.
#pragma warning disable CA5363
// The code that's violating the rule is on this line.
#pragma warning restore CA5363
Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.
[*.{cs,vb}]
dotnet_diagnostic.CA5363.severity = none
Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.
Contoh kode semu
Pelanggaran
Sampel kode semu berikut mengilustrasikan pola yang terdeteksi oleh aturan ini. Ini menonaktifkan validasi input.
using System.Web.Mvc;
class TestControllerClass
{
[ValidateInput(false)]
public void TestActionMethod()
{
}
}
Solusi
using System.Web.Mvc;
class TestControllerClass
{
[ValidateInput(true)]
public void TestActionMethod()
{
}
}
