CA5391: Usar tokens antifalsificación en los controladores de ASP.NET Core MVC
| Propiedad | Value |
|---|---|
| Identificador de la regla | CA5391 |
| Título | Usar tokens antifalsificación en los controladores de ASP.NET Core MVC |
| Categoría | Seguridad |
| La corrección interrumpe o no interrumpe | Poco problemático |
| Habilitado de forma predeterminada en .NET 8 | No |
Causa
Las acciones que dan como resultado operaciones de modificación no tienen un atributo de token antifalsificación, o bien se usa un filtro de token antifalsificación global sin llamar a las funciones de token antifalsificación esperadas.
Descripción de la regla
El control de una solicitud POST, PUT, PATCH o DELETE sin validar un token antifalsificación puede ser vulnerable a ataques de falsificación de solicitud entre sitios. Un ataque de falsificación de solicitud entre sitios puede enviar solicitudes malintencionadas desde un usuario autenticado a un controlador de ASP.NET Core MVC.
Cómo corregir infracciones
- Marque la acción de modificación con un atributo de token antifalsificación válido:
- Microsoft.AspNetCore.Mvc.ValidateAntiForgeryTokenAttribute.
- Atributo cuyo nombre es similar a
%Validate%Anti_orgery%Attribute.
- Agregue el atributo de token de falsificación válido al filtro global con Microsoft.AspNetCore.Mvc.Filters.FilterCollection.Add.
- Agregue cualquier clase de filtro antifalsificación personalizada o proporcionada por MVC que llame a
Validateen cualquier clase que implemente la interfaz Microsoft.AspNetCore.Antiforgery.IAntiforgery.
Cuándo suprimir las advertencias
Esta regla se puede suprimir si se adoptan soluciones que no sean el uso de atributos de token antifalsificación para mitigar las vulnerabilidades de CSRF. Para obtener más información, vea Prevención de ataques de falsificación de solicitud entre sitios (XSRF/CSRF) en ASP.NET Core.
Supresión de una advertencia
Si solo quiere suprimir una única infracción, agregue directivas de preprocesador al archivo de origen para deshabilitar y volver a habilitar la regla.
#pragma warning disable CA5391
// The code that's violating the rule is on this line.
#pragma warning restore CA5391
Para deshabilitar la regla de un archivo, una carpeta o un proyecto, establezca su gravedad en none del archivo de configuración.
[*.{cs,vb}]
dotnet_diagnostic.CA5391.severity = none
Para obtener más información, consulte Procedimiento para suprimir advertencias de análisis de código.
Configuración del código para analizar
Puede configurar si la regla se aplica solo a las clases derivadas de Microsoft.AspNetCore.Mvc.Controller en el código base. Por ejemplo, para especificar que la regla no se debe ejecutar en ningún código dentro de los tipos derivados de ControllerBase, agregue el siguiente par clave-valor a un archivo .editorconfig en el proyecto:
dotnet_code_quality.CA5391.exclude_aspnet_core_mvc_controllerbase = true
Ejemplos de pseudocódigo
Sin infracción del atributo de token antifalsificación
using Microsoft.AspNetCore.Mvc;
class ExampleController : Controller
{
[HttpDelete]
public IActionResult ExampleAction (string actionName)
{
return null;
}
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult AnotherAction (string actionName)
{
return null;
}
}
Sin filtro antifalsificación global válido
using System.Threading.Tasks;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Filters;
class ExampleController : Controller
{
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult AnotherAction (string actionName)
{
return null;
}
[HttpDelete]
public IActionResult ExampleAction (string actionName)
{
return null;
}
}
class FilterClass : IAsyncAuthorizationFilter
{
public Task OnAuthorizationAsync (AuthorizationFilterContext context)
{
return null;
}
}
class BlahClass
{
public static void BlahMethod ()
{
FilterCollection filterCollection = new FilterCollection ();
filterCollection.Add(typeof(FilterClass));
}
}
Marcado con una solución de atributo de token antifalsificación
using Microsoft.AspNetCore.Mvc;
class ExampleController : Controller
{
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult ExampleAction ()
{
return null;
}
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult AnotherAction ()
{
return null;
}
}
Con un filtro global antifalsificación válido
using System.Threading.Tasks;
using Microsoft.AspNetCore.Antiforgery;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Filters;
class ExampleController : Controller
{
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult AnotherAction()
{
return null;
}
[HttpDelete]
public IActionResult ExampleAction()
{
return null;
}
}
class FilterClass : IAsyncAuthorizationFilter
{
private readonly IAntiforgery antiforgery;
public FilterClass(IAntiforgery antiforgery)
{
this.antiforgery = antiforgery;
}
public Task OnAuthorizationAsync(AuthorizationFilterContext context)
{
return antiforgery.ValidateRequestAsync(context.HttpContext);
}
}
class BlahClass
{
public static void BlahMethod()
{
FilterCollection filterCollection = new FilterCollection();
filterCollection.Add(typeof(FilterClass));
}
}
