CA3147: Marcar los controladores de verbo con ValidateAntiForgeryToken

Artículo
11/15/2023

Propiedad	Value
Identificador de la regla	CA3147
Título	Marcar los controladores de verbo con ValidateAntiForgeryToken
Categoría	Seguridad
La corrección interrumpe o no interrumpe	Poco problemático
Habilitado de forma predeterminada en .NET 8	No

Causa

Un método de acción del controlador ASP.NET MVC no está marcado con ValidateAntiForgeryTokenAttribute o un atributo que especifica el verbo HTTP, como HttpGetAttribute o AcceptVerbsAttribute.

Descripción de la regla

Al diseñar un controlador ASP.NET MVC, tenga en cuenta los ataques de falsificación de solicitudes entre sitios. Un ataque al de falsificación de solicitud entre sitios puede enviar solicitudes malintencionadas desde un usuario autenticado a un controlador ASP.NET MVC. Para obtener más información, vea Prevención de XSRF/CSRF en ASP.NET MVC y páginas web.

Esta regla comprueba que los métodos de acción del controlador ASP.NET MVC sean uno de los siguientes:

Tener ValidateAntiforgeryTokenAttribute y especificar verbos HTTP permitidos, sin incluir HTTP GET.
Especificar HTTP GET como verbo permitido.

Cómo corregir infracciones

En el caso de las acciones del controlador ASP.NET MVC que controlan solicitudes HTTP GET y no tienen efectos secundarios potencialmente perjudiciales, agregue un HttpGetAttribute al método.

Si tiene una acción de controlador ASP.NET MVC que controla solicitudes HTTP GET y tiene efectos secundarios potencialmente perjudiciales, como la modificación de datos confidenciales, la aplicación es vulnerable a los ataques de falsificación de solicitudes entre sitios. Tendrá que rediseñar la aplicación para que solo las solicitudes HTTP POST, PUT o DELETE realicen operaciones confidenciales.
En el caso de las acciones del controlador ASP.NET MVC que controlan las solicitudes HTTP POST, PUT o DELETE, agregue ValidateAntiForgeryTokenAttribute y atributos que especifiquen los verbos HTTP permitidos (AcceptVerbsAttribute, HttpPostAttribute, HttpPutAttribute o HttpDeleteAttribute). Además, debe llamar al método HtmlHelper. AntiForgeryToken() desde la vista de MVC o la página web de Razor. Para obtener un ejemplo, vea Examinar los métodos y la vista Edit.

Cuándo suprimir las advertencias

Se puede suprimir una advertencia de esta regla si:

La acción del controlador ASP.NET MVC no tiene efectos secundarios dañinos.
La aplicación valida el token antifalsificación de otra forma.

Supresión de una advertencia

Si solo quiere suprimir una única infracción, agregue directivas de preprocesador al archivo de origen para deshabilitar y volver a habilitar la regla.

#pragma warning disable CA3147
// The code that's violating the rule is on this line.
#pragma warning restore CA3147

Para deshabilitar la regla de un archivo, una carpeta o un proyecto, establezca su gravedad en none del archivo de configuración.

[*.{cs,vb}]
dotnet_diagnostic.CA3147.severity = none

Para obtener más información, consulte Procedimiento para suprimir advertencias de análisis de código.

Ejemplo del atributo ValidateAntiForgeryToken

Infracción:

namespace TestNamespace
{
    using System.Web.Mvc;

    public class TestController : Controller
    {
        public ActionResult TransferMoney(string toAccount, string amount)
        {
            // You don't want an attacker to specify to who and how much money to transfer.

            return null;
        }
    }
}

Solución:

using System;
using System.Xml;

namespace TestNamespace
{
    using System.Web.Mvc;

    public class TestController : Controller
    {
        [HttpPost]
        [ValidateAntiForgeryToken]
        public ActionResult TransferMoney(string toAccount, string amount)
        {
            return null;
        }
    }
}

Ejemplo del atributo HttpGet