CA5372: Gunakan XmlReader untuk XPathDocument
| Properti | Nilai |
|---|---|
| ID Aturan | CA5372 |
| Judul | Menggunakan XmlReader untuk XPathDocument |
| Golongan | Keamanan |
| Perbaikan bersifat disruptif atau non-disruptif | Non-disruptif |
| Diaktifkan secara default di .NET 9 | No |
Penyebab
Menggunakan kelas yang XPathDocument dibuat tanpa XmlReader objek berpotensi menyebabkan penolakan layanan, pengungkapan informasi, dan serangan pemalsuan permintaan sisi server. Serangan ini diaktifkan oleh pemrosesan skema XML dan DTD yang tidak tepercaya, yang memungkinkan penyertaan bom XML dan entitas eksternal berbahaya di XML. Hanya dengan XmlReader dimungkinkan untuk menonaktifkan DTD. Pemrosesan skema XML sebaris seperti XmlReader memiliki properti ProhibitDtd dan ProcessInlineSchema yang ditetapkan ke salah secara default di .NET Framework mulai versi 4.0. Opsi lain seperti Stream, TextReader, dan XmlSerializationReader tidak dapat menonaktifkan pemrosesan DTD.
Deskripsi aturan
Memproses XML dari data yang tidak tepercaya dapat memuat referensi eksternal berbahaya, yang dapat dibatasi dengan menggunakan dengan resolver aman XmlReader atau dengan pemrosesan DTD dinonaktifkan. Aturan ini mendeteksi kode yang menggunakan XPathDocument kelas dan tidak mengambil XmlReader sebagai parameter konstruktor.
Cara memperbaiki pelanggaran
Gunakan XPathDocument(XmlReader, *) konstruktor.
Kapan harus menekan peringatan
Anda berpotensi menekan peringatan ini jika XPathDocument objek digunakan untuk memproses file XML yang berasal dari sumber tepercaya dan karenanya tidak dapat dirusak.
Menyembunyikan peringatan
Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.
#pragma warning disable CA5372
// The code that's violating the rule is on this line.
#pragma warning restore CA5372
Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.
[*.{cs,vb}]
dotnet_diagnostic.CA5372.severity = none
Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.
Contoh kode semu
Pelanggaran
Sampel kode semu berikut mengilustrasikan pola yang terdeteksi oleh aturan ini.
Jenis parameter pertama XPathDocument bukan XmlReader.
using System.IO;
using System.Xml.XPath;
...
var obj = new XPathDocument(stream);
Solusi
using System.Xml;
using System.Xml.XPath;
...
public void TestMethod(XmlReader reader)
{
var obj = new XPathDocument(reader);
}
