CA5371: Gunakan XmlReader untuk pembacaan skema
| Properti | Nilai |
|---|---|
| ID Aturan | CA5371 |
| Judul | Menggunakan XmlReader untuk pembacaan skema |
| Golongan | Keamanan |
| Perbaikan bersifat disruptif atau non-disruptif | Non-disruptif |
| Diaktifkan secara default di .NET 9 | No |
Penyebab
Memproses input XML yang tidak tepercaya dengan XmlSchema.Read yang dipakai tanpa objek XmlReader dapat berpotensi menyebabkan penolakan layanan, pengungkapan informasi, dan serangan pemalsuan permintaan sisi server. Serangan ini diaktifkan oleh pemrosesan skema XML dan DTD yang tidak tepercaya, yang memungkinkan penyertaan bom XML dan entitas eksternal berbahaya di XML. Hanya dengan XmlReader dimungkinkan untuk menonaktifkan DTD. Pemrosesan skema XML sebaris seperti XmlReader memiliki properti ProhibitDtd dan ProcessInlineSchema yang ditetapkan ke salah secara default di .NET Framework mulai versi 4.0. Opsi lain seperti Stream, TextReader, dan XmlSerializationReader tidak dapat menonaktifkan pemrosesan DTD.
Deskripsi aturan
Memproses skema DTD dan XML yang tidak tepercaya dapat mengaktifkan pemuatan referensi eksternal yang berbahaya. Menggunakan XmlReader dengan penyelesai aman atau dengan pemrosesan skema sebaris DTD dan XML yang dinonaktifkan akan membatasi hal ini. Aturan ini mendeteksi kode yang menggunakan metode XmlSchema.Read tanpa XmlReader sebagai parameter.
Cara memperbaiki pelanggaran
Gunakan overload XmlSchema.Read(XmlReader, *).
Kapan harus menekan peringatan
Anda berpotensi menyembunyikan peringatan ini jika metode XmlSchema.Read selalu digunakan untuk memproses XML yang berasal dari sumber tepercaya dan karenanya tidak dapat diubah.
Menyembunyikan peringatan
Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.
#pragma warning disable CA5371
// The code that's violating the rule is on this line.
#pragma warning restore CA5371
Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.
[*.{cs,vb}]
dotnet_diagnostic.CA5371.severity = none
Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.
Contoh kode semu
Pelanggaran
Sampel kode semu berikut mengilustrasikan pola yang terdeteksi oleh aturan ini.
Jenis parameter pertama XmlSchema.Read bukan XmlReader.
using System.IO;
using System.Xml.Schema;
...
public void TestMethod(Stream stream, ValidationEventHandler validationEventHandler)
{
XmlSchema.Read(stream, validationEventHandler);
}
Solusi
using System.IO;
using System.Xml.Schema;
...
public void TestMethod(XmlReader reader, ValidationEventHandler validationEventHandler)
{
XmlSchema.Read(reader, validationEventHandler);
}
