CA5370: Gunakan XmlReader untuk memvalidasi pembaca
| Properti | Nilai |
|---|---|
| ID Aturan | CA5370 |
| Judul | Menggunakan XmlReader untuk memvalidasi pembaca |
| Golongan | Keamanan |
| Perbaikan bersifat disruptif atau non-disruptif | Non-disruptif |
| Diaktifkan secara default di .NET 9 | No |
Penyebab
Memvalidasi input XML yang tidak tepercaya dengan XmlValidatingReader kelas yang XmlReader dibuat tanpa objek berpotensi menyebabkan penolakan layanan, pengungkapan informasi, dan pemalsuan permintaan sisi server. Serangan ini diaktifkan oleh pemrosesan skema XML dan DTD yang tidak tepercaya, yang memungkinkan penyertaan bom XML dan entitas eksternal berbahaya di XML. Hanya dengan XmlReader dimungkinkan untuk menonaktifkan DTD. Pemrosesan skema XML sebaris seperti XmlReader halnya ProhibitDtd properti dan ProcessInlineSchema diatur ke false secara default di .NET Framework mulai versi 4.0.
Deskripsi aturan
Memproses skema DTD dan XML yang tidak tepercaya dapat mengaktifkan pemuatan referensi eksternal yang berbahaya. Pemuatan berbahaya ini dapat dibatasi dengan menggunakan pemecah masalah yang XmlReader aman atau dengan pemrosesan skema sebaris DTD dan XML dinonaktifkan. Aturan ini mendeteksi kode yang menggunakan XmlValidatingReader kelas tanpa XmlReader sebagai parameter konstruktor.
Cara memperbaiki pelanggaran
- Gunakan
XmlValidatingReader(XmlReader)denganProhibitDtdproperti danProcessInlineSchemadiatur kefalse. - Mulai dari .NET Framework 2.0,
XmlValidatingReaderdianggap usang. Anda dapat membuat instans pembaca validasi dengan XmlReader.Create.
Kapan harus menekan peringatan
Anda berpotensi menekan peringatan ini jika XmlValidatingReader selalu digunakan untuk memvalidasi XML yang berasal dari sumber tepercaya dan karenanya tidak dapat dirusak.
Menyembunyikan peringatan
Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.
#pragma warning disable CA5370
// The code that's violating the rule is on this line.
#pragma warning restore CA5370
Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.
[*.{cs,vb}]
dotnet_diagnostic.CA5370.severity = none
Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.
Contoh kode semu
Pelanggaran
Sampel kode semu berikut mengilustrasikan pola yang terdeteksi oleh aturan ini.
Jenis parameter pertama XmlValidatingReader.XmlValidatingReader() bukan XmlReader.
using System;
using System.IO;
using System.Xml;
...
public void TestMethod(Stream xmlFragment, XmlNodeType fragType, XmlParserContext context)
{
var obj = new XmlValidatingReader(xmlFragment, fragType, context);
}
Solusi
using System;
using System.Xml;
...
public void TestMethod(XmlReader xmlReader)
{
var obj = new XmlValidatingReader(xmlReader);
}
