CA5371: Şema okuma için XmlReader kullanma
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA5371 |
| Başlık | Şema okuma için XmlReader kullanma |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 9'da varsayılan olarak etkin | Hayır |
Neden
Örneği bir XmlSchema.Read nesne olmadan örneklenen güvenilmeyen XML girişinin XmlReader işlenmesi hizmet reddine, bilgilerin açığa çıkmasına ve sunucu tarafı istek sahteciliği saldırılarına yol açabilir. Bu saldırılar, XML bombalarının ve kötü amaçlı dış varlıkların XML'ye eklenmesini sağlayan güvenilmeyen DTD ve XML şeması işleme tarafından etkinleştirilir. Yalnızca ile DTD'yi XmlReader devre dışı bırakmak mümkündür. ve özelliği varsayılan olarak XmlReader 4.0 sürümünden ProhibitDtdProcessInlineSchema başlayarak .NET Framework'te false olarak ayarlanmış satır içi XML şeması işleme. , Streamve TextReader gibi XmlSerializationReaderdiğer seçenekler DTD işlemeyi devre dışı bırakamaz.
Kural açıklaması
Güvenilmeyen DTD ve XML şemalarının işlenmesi tehlikeli dış başvuruların yüklenmesini sağlayabilir.
XmlReader Güvenli bir çözümleyici ile veya DTD ve XML satır içi şema işleme devre dışı bırakılarak kullanılması bunu kısıtlar. Bu kural, parametresiz XmlSchema.Read yöntemini kullanan XmlReader kodu algılar.
İhlalleri düzeltme
Aşırı yüklemeleri kullanın XmlSchema.Read(XmlReader, *) .
Uyarıların ne zaman bastırılması gerekiyor?
Yöntem her zaman güvenilir bir kaynaktan gelen XML'yi işlemek için kullanılırsa ve bu nedenle üzerinde oynanamazsa XmlSchema.Read bu uyarıyı gizleyebilirsiniz.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA5371
// The code that's violating the rule is on this line.
#pragma warning restore CA5371
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini noneolarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA5371.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
Ihlal
Aşağıdaki sahte kod örneği, bu kural tarafından algılanan deseni gösterir.
İlk parametresinin XmlSchema.Read türü değildir XmlReader.
using System.IO;
using System.Xml.Schema;
...
public void TestMethod(Stream stream, ValidationEventHandler validationEventHandler)
{
XmlSchema.Read(stream, validationEventHandler);
}
Çözüm
using System.IO;
using System.Xml.Schema;
...
public void TestMethod(XmlReader reader, ValidationEventHandler validationEventHandler)
{
XmlSchema.Read(reader, validationEventHandler);
}
