CA5395: Atribut Miss HttpVerb untuk metode tindakan

Penyebab

Tidak menentukan jenis permintaan HTTP secara eksplisit untuk metode tindakan.

Deskripsi aturan

Semua metode tindakan yang membuat, mengedit, menghapus, atau mengubah data perlu dilindungi dengan atribut anti pemalsuan dari serangan pemalsuan permintaan antar situs. Melakukan operasi GET harus menjadi operasi yang aman yang tidak memiliki efek samping dan tidak mengubah data Anda yang disimpan.

Cara memperbaiki pelanggaran

Tandai metode tindakan dengan HttpVerb atribut.

Kapan harus menekan peringatan

Aman untuk menekan peringatan dari aturan ini jika:

• Anda yakin bahwa tidak ada operasi modifikasi yang terjadi dalam metode tindakan. Atau, ini bukan metode tindakan sama sekali.
• Solusi selain menggunakan atribut token antiforgery diadopsi untuk mengurangi kerentanan CSRF. Untuk informasi selengkapnya, lihat Mencegah serangan Pemalsuan Permintaan Antar Situs (XSRF/CSRF) di ASP.NET Core.

Menyembunyikan peringatan

Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.

#pragma warning disable CA5395
// The code that's violating the rule is on this line.
#pragma warning restore CA5395

Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.

[*.{cs,vb}]
dotnet_diagnostic.CA5395.severity = none

Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.

Contoh kode semu

Pelanggaran

using Microsoft.AspNetCore.Mvc;

[ValidateAntiForgeryToken]
class BlahController : Controller
{
}

class ExampleController : Controller
{
    public IActionResult ExampleAction()
    {
        return null;
    }
}

Solusi

using Microsoft.AspNetCore.Mvc;

[ValidateAntiForgeryToken]
class BlahController : Controller
{
}

class ExampleController : Controller
{
    [HttpGet]
    public IActionResult ExampleAction()
    {
        return null;
    }
}