Nota
L'accés a aquesta pàgina requereix autorització. Podeu provar d'iniciar la sessió o de canviar els directoris.
L'accés a aquesta pàgina requereix autorització. Podeu provar de canviar els directoris.
| Propiedad | Valor |
|---|---|
| Identificador de la regla | CA3061 |
| Título | No agregar esquema mediante URL |
| Categoría | Seguridad |
| El arreglo es problemático o no problemático | Sin interrupción |
| Habilitado de forma predeterminada en .NET 10 | No |
| Idiomas aplicables | C# y Visual Basic |
Causa
La sobrecarga de XmlSchemaCollection.Add(String, String) utiliza XmlUrlResolver para especificar un esquema XML externo en forma de URI. Si la cadena del URI está comprometida, podría llevar al análisis de un esquema XML malintencionado, lo que permitiría la inclusión de bombas XML y entidades externas malintencionadas. Esto podría permitir que un atacante malintencionado realizara un ataque por denegación de servicio, divulgación de información o de falsificación de solicitudes del lado servidor.
Descripción de la regla
No use la sobrecarga no segura del método Add porque puede provocar referencias externas peligrosas.
Cómo corregir infracciones
- No use
XmlSchemaCollection.Add(String, String).
Cuándo suprimir las advertencias
Suprima esta regla si está seguro de que el código XML no resuelve referencias externas peligrosas.
Supresión de una advertencia
Si solo quiere suprimir una única infracción, agregue directivas de preprocesador al archivo de origen para deshabilitar y volver a habilitar la regla.
#pragma warning disable CA3061
// The code that's violating the rule is on this line.
#pragma warning restore CA3061
Para deshabilitar la regla de un archivo, una carpeta o un proyecto, establezca su gravedad en none del archivo de configuración.
[*.{cs,vb}]
dotnet_diagnostic.CA3061.severity = none
Para obtener más información, consulte Procedimiento para suprimir advertencias de análisis de código.
Ejemplos de pseudocódigo
Infracción
El pseudocódigo de ejemplo siguiente muestra el patrón que detecta esta regla.
El tipo del segundo parámetro es string.
using System;
using System.Xml.Schema;
...
XmlSchemaCollection xsc = new XmlSchemaCollection();
xsc.Add("urn: bookstore - schema", "books.xsd");
Solución
using System;
using System.IO;
using System.Xml;
using System.Xml.Schema;
...
XmlSchemaCollection xsc = new XmlSchemaCollection();
xsc.Add("urn: bookstore - schema", new XmlTextReader(new FileStream(""xmlFilename"", FileMode.Open)));
Col·laboreu amb nosaltres a GitHub
La font d'aquest contingut es pot trobar al GitHub, on també podeu crear i revisar problemes i sol·licituds d'extracció. Per obtenir més informació, consulteu la nostra guia per a col·laboradors.
