CA5404: Belirteç doğrulama denetimlerini devre dışı bırakma
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA5404 |
| Başlık | Belirteç doğrulama denetimlerini devre dışı bırakma |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 9'da varsayılan olarak etkin | Hayır |
Neden
, , TokenValidationParametersRequireExpirationTimeveya ValidateAudience özelliklerini ValidateIssuerolarak ValidateLifetimeayarlamafalse.
Kural açıklaması
Belirteç doğrulama denetimleri, belirteçleri doğrularken tüm yönlerinin analiz edilmesini ve doğrulanmasını sağlar. Doğrulamayı kapatmak, güvenilmeyen belirteçlerin doğrulama yoluyla bunu yapmasına izin vererek güvenlik açıklarına yol açabilir.
Belirteç doğrulamaya yönelik en iyi yöntemler hakkında daha fazla ayrıntı kitaplığın wiki'sinde bulunabilir.
İhlalleri düzeltme
, , TokenValidationParametersRequireExpirationTimeveya ValidateAudience özelliklerini ValidateIssuerolarak ValidateLifetimeayarlayıntrue. Varsayılan değer olduğundan falseatamayı true kaldırın.
Uyarıların ne zaman bastırılması gerekiyor?
Çoğu durumda bu doğrulama, tüketen uygulamanın güvenliğini sağlamak için gereklidir. Ancak, özellikle standart olmayan belirteç türlerinde bu doğrulamanın gerekli olmadığı bazı durumlar vardır. Bu doğrulamayı devre dışı bırakmadan önce, güvenlik etkilerini tam olarak düşündüğünüzden emin olun. Dengeler hakkında bilgi için belirteç doğrulama kitaplığının wiki'sine bakın.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA5404
// The code that's violating the rule is on this line.
#pragma warning restore CA5404
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini noneolarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA5404.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
using System;
using Microsoft.IdentityModel.Tokens;
class TestClass
{
public void TestMethod()
{
TokenValidationParameters parameters = new TokenValidationParameters();
parameters.RequireExpirationTime = false;
parameters.ValidateAudience = false;
parameters.ValidateIssuer = false;
parameters.ValidateLifetime = false;
}
}
Çözüm
using System;
using Microsoft.IdentityModel.Tokens;
class TestClass
{
public void TestMethod()
{
TokenValidationParameters parameters = new TokenValidationParameters();
parameters.RequireExpirationTime = true;
parameters.ValidateAudience = true;
parameters.ValidateIssuer = true;
parameters.ValidateLifetime = true;
}
}
