CA5366: Utilizar XmlReader para el XML de lectura de DataSet
| Propiedad | Value |
|---|---|
| Identificador de la regla | CA5366 |
| Título | Utilizar XmlReader para el XML de lectura de DataSet |
| Categoría | Seguridad |
| La corrección interrumpe o no interrumpe | Poco problemático |
| Habilitado de forma predeterminada en .NET 9 | No |
Causa
Una definición de tipo de documento (DTD) define la estructura y los elementos y atributos válidos de un documento XML. La referencia a una DTD desde un recurso externo podría producir posibles ataques por denegación de servicio (DoS). La mayoría de los lectores no pueden deshabilitar el procesamiento de DTD y restringir la carga de referencias externas, excepto System.Xml.XmlReader. El uso de estos otros lectores para cargar documentos XML mediante uno de los métodos siguientes desencadena esta regla:
Descripción de la regla
Mediante el uso de System.Data.DataSet para leer código XML con datos en los que no se confía, se pueden cargar referencias externas peligrosas, que se deben restringir usando XmlReader con una resolución segura o con el procesamiento de DTD deshabilitado.
Cómo corregir infracciones
Use XmlReader o sus clases derivadas para leer XML.
Cuándo suprimir las advertencias
Suprima una advertencia de esta regla cuando trabaje con un origen de datos de confianza.
Supresión de una advertencia
Si solo quiere suprimir una única infracción, agregue directivas de preprocesador al archivo de origen para deshabilitar y volver a habilitar la regla.
#pragma warning disable CA5366
// The code that's violating the rule is on this line.
#pragma warning restore CA5366
Para deshabilitar la regla de un archivo, una carpeta o un proyecto, establezca su gravedad en none del archivo de configuración.
[*.{cs,vb}]
dotnet_diagnostic.CA5366.severity = none
Para obtener más información, consulte Procedimiento para suprimir advertencias de análisis de código.
Ejemplos de pseudocódigo
Infracción
using System.Data;
using System.IO;
public class ExampleClass
{
public void ExampleMethod()
{
new DataSet().ReadXml(new FileStream("xmlFilename", FileMode.Open));
}
}
Solución
using System.Data;
using System.IO;
using System.Xml;
public class ExampleClass
{
public void ExampleMethod()
{
new DataSet().ReadXml(new XmlTextReader(new FileStream("xmlFilename", FileMode.Open)));
}
}
