CA2351: Ujistěte se, že vstup DataSet.ReadXml() je důvěryhodný.

Vlastnost	Hodnota
ID pravidla	CA2351
Název	Ujistěte se, že vstup pro DataSet.ReadXml() je důvěryhodný
Kategorie	Zabezpečení
Oprava způsobující chybu nebo chybu způsobující chybu	Nenarušující
Povoleno ve výchozím nastavení v .NET 8	No

Příčina

Metoda DataSet.ReadXml byla volána nebo odkazována, a ne v rámci automaticky vygenerovaného kódu.

Toto pravidlo klasifikuje automaticky vygenerovaný kód b:

• Být uvnitř metody s názvem ReadXmlSerializable.
• Metoda ReadXmlSerializable má .System.Diagnostics.DebuggerNonUserCodeAttribute
• Metoda ReadXmlSerializable je v typu, který má System.ComponentModel.DesignerCategoryAttribute.

CA2361 je podobné pravidlo pro zobrazení DataSet.ReadXml v automaticky generovaném kódu.

Popis pravidla

Při deserializaci nedůvěryhodného DataSet vstupu může útočník vytvořit škodlivý vstup, který provede útok do služby dos. Může se jednat o neznámá ohrožení zabezpečení vzdáleného spuštění kódu.

Další informace naleznete v tématu DataSet a DataTable security guidance.

Jak opravit porušení

• Pokud je to možné, použijte Entity Framework místo DataSet.
• Zfalšujte serializovaná data a zfalšujte je. Po serializaci kryptograficky podepisujte serializovaná data. Před deserializací ověřte kryptografický podpis. Chraňte kryptografický klíč před zveřejněním a návrhem obměny klíčů.

Kdy potlačit upozornění

Upozornění z tohoto pravidla je bezpečné potlačit, pokud:

• Víte, že vstup je důvěryhodný. Vezměte v úvahu, že hranice důvěryhodnosti vaší aplikace a toky dat se můžou v průběhu času měnit.
• Provedli jste jedno z bezpečnostních opatření v části Jak opravit porušení.

Potlačení upozornění

Pokud chcete pouze potlačit jedno porušení, přidejte do zdrojového souboru direktivy preprocesoru, abyste pravidlo zakázali a znovu povolili.

#pragma warning disable CA2351
// The code that's violating the rule is on this line.
#pragma warning restore CA2351

Pokud chcete pravidlo pro soubor, složku nebo projekt zakázat, nastavte jeho závažnost v none konfiguračním souboru.

[*.{cs,vb}]
dotnet_diagnostic.CA2351.severity = none

Další informace naleznete v tématu Jak potlačit upozornění analýzy kódu.

Příklady pseudokódu

Porušení

using System.Data;

public class ExampleClass
{
    public DataSet MyDeserialize(string untrustedXml)
    {
        DataSet dt = new DataSet();
        dt.ReadXml(untrustedXml);
    }
}

Související pravidla

CA2350: Ujistěte se, že vstup DataTable.ReadXml() je důvěryhodný.

CA2352: Nebezpečné datové sady nebo datové tabulky v serializovatelném typu mohou být ohroženy útoky vzdáleného spuštění kódu

CA2353: Nezabezpečená datová sada nebo datová tabulka v serializovatelném typu

CA2354: Nezabezpečená datová sada nebo datová tabulka v deserializovaném grafu objektů může být zranitelná vůči útokům vzdáleného spuštění kódu.

CA2355: Nezabezpečená datová sada nebo datová tabulka v deserializovaném grafu objektu

CA2356: Nezabezpečená datová sada nebo datová tabulka v grafu deserializovaného objektu webu

CA2361: Ujistěte se, že se u nedůvěryhodných dat nepoužívá automaticky vygenerovaná třída obsahující DataSet.ReadXml().

CA2362: Nebezpečná datová sada nebo datová tabulka v automaticky generovaném serializovatelném typu může být zranitelná vůči útokům vzdáleného spuštění kódu