CA3077: Procesamiento no seguro en el diseño de una API, documento XML y lector de texto XML
| Propiedad | Value |
|---|---|
| Identificador de la regla | CA3077 |
| Título | Procesamiento no seguro en el diseño de una API, documento XML y lector de texto XML |
| Categoría | Seguridad |
| La corrección interrumpe o no interrumpe | Poco problemático |
| Habilitado de forma predeterminada en .NET 8 | No |
Causa
Al diseñar una API derivada de XMLDocument y XMLTextReader, tenga en cuenta la propiedad DtdProcessing. El uso de instancias de DTDProcessing inseguras al hacer referencia a orígenes de entidades externas o resolverlos, o la definición de valores inseguros en el lenguaje XML puede provocar la divulgación de información.
Descripción de la regla
Una definición de tipo de documento (DTD) es una de las dos formas que tiene un analizador XML para determinar la validez de un documento, como se define en el lenguaje de marcado extensible (XML) 1.0 de World Wide Web Consortium (W3C). Esta regla busca propiedades e instancias en las que se aceptan datos que no son de confianza para advertir a los desarrolladores de las posibles amenazas de Information Disclosure , lo que puede provocar ataques por denegación de servicio (DoS) . Esta regla se desencadena cuando:
Las clases XmlDocument o XmlTextReader usan valores de resolución predeterminados para el procesamiento de DTD.
No se ha definido ningún constructor para las clases derivadas XmlDocument o XmlTextReader o no se usa ningún valor seguro para XmlResolver.
Cómo corregir infracciones
Detecta y procesa todas las excepciones XmlTextReader correctamente para evitar la divulgación de información de ruta de acceso.
Usa XmlSecureResolver en lugar de XmlResolver para restringir los recursos a los que puede obtener acceso XmlTextReader.
Cuándo suprimir las advertencias
A menos que esté seguro de que la entrada es de un origen de confianza, no suprima ninguna regla de esta advertencia.
Supresión de una advertencia
Si solo quiere suprimir una única infracción, agregue directivas de preprocesador al archivo de origen para deshabilitar y volver a habilitar la regla.
#pragma warning disable CA3077
// The code that's violating the rule is on this line.
#pragma warning restore CA3077
Para deshabilitar la regla de un archivo, una carpeta o un proyecto, establezca su gravedad en none del archivo de configuración.
[*.{cs,vb}]
dotnet_diagnostic.CA3077.severity = none
Para obtener más información, consulte Procedimiento para suprimir advertencias de análisis de código.
Ejemplos de pseudocódigo
Infracción
using System;
using System.Xml;
namespace TestNamespace
{
class TestClass : XmlDocument
{
public TestClass () {} // warn
}
class TestClass2 : XmlTextReader
{
public TestClass2() // warn
{
}
}
}
Solución
using System;
using System.Xml;
namespace TestNamespace
{
class TestClass : XmlDocument
{
public TestClass ()
{
XmlResolver = null;
}
}
class TestClass2 : XmlTextReader
{
public TestClass2()
{
XmlResolver = null;
}
}
}
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de