CA5369: Gunakan XmlReader untuk Deserialisasi
| Properti | Nilai |
|---|---|
| ID Aturan | CA5369 |
| Judul | Menggunakan XmlReader untuk Deserialize |
| Golongan | Keamanan |
| Perbaikan bersifat disruptif atau non-disruptif | Non-disruptif |
| Diaktifkan secara default di .NET 9 | No |
Penyebab
Mendeserialisasi input XML yang tidak tepercaya dengan XmlSerializer.Deserialize dibuat tanpa XmlReader objek berpotensi menyebabkan penolakan layanan, pengungkapan informasi, dan serangan pemalsuan permintaan sisi server. Serangan ini diaktifkan oleh pemrosesan skema XML dan DTD yang tidak tepercaya, yang memungkinkan penyertaan bom XML dan entitas eksternal berbahaya di XML. Hanya dengan XmlReader dimungkinkan untuk menonaktifkan DTD. Pemrosesan skema XML sebaris seperti XmlReader halnya ProhibitDtd properti dan ProcessInlineSchema diatur ke false secara default di .NET Framework versi 4.0 dan yang lebih baru. Opsi lain seperti Stream, TextReader, dan XmlSerializationReader tidak dapat menonaktifkan pemrosesan DTD.
Deskripsi aturan
Memproses skema DTD dan XML yang tidak tepercaya dapat memungkinkan pemuatan referensi eksternal berbahaya, yang harus dibatasi dengan menggunakan XmlReader pemecah masalah yang aman atau dengan pemrosesan skema sebaris DTD dan XML dinonaktifkan. Aturan ini mendeteksi kode yang menggunakan XmlSerializer.Deserialize metode dan tidak mengambil XmlReader sebagai parameter konstruktor.
Cara memperbaiki pelanggaran
Jangan gunakan XmlSerializer.Deserialize kelebihan beban selain Deserialize(XmlReader), , Deserialize(XmlReader, String), Deserialize(XmlReader, XmlDeserializationEvents)atau Deserialize(XmlReader, String, XmlDeserializationEvents).
Kapan harus menekan peringatan
Anda berpotensi menekan peringatan ini jika XML yang diurai berasal dari sumber tepercaya dan karenanya tidak dapat dirusak.
Menyembunyikan peringatan
Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.
#pragma warning disable CA5369
// The code that's violating the rule is on this line.
#pragma warning restore CA5369
Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.
[*.{cs,vb}]
dotnet_diagnostic.CA5369.severity = none
Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.
Contoh kode semu
Pelanggaran
Sampel kode semu berikut mengilustrasikan pola yang terdeteksi oleh aturan ini.
Jenis parameter XmlSerializer.Deserialize pertama bukan XmlReader atau kelas turunannya.
using System.IO;
using System.Xml.Serialization;
...
new XmlSerializer(typeof(TestClass).Deserialize(new FileStream("filename", FileMode.Open));
Solusi
using System.IO;
using System.Xml;
using System.Xml.Serialization;
...
new XmlSerializer(typeof(TestClass)).Deserialize(XmlReader.Create (new FileStream("filename", FileMode.Open)));
