Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
| Properti | Nilai |
|---|---|
| ID Aturan | CA5392 |
| Judul | Gunakan atribut DefaultDllImportSearchPaths untuk P/Invokes |
| Golongan | Keamanan |
| Perbaikan bersifat disruptif atau non-disruptif | Non-disruptif |
| Diaktifkan secara default di .NET 10 | No |
Penyebab
DefaultDllImportSearchPathsAttribute tidak ditentukan untuk fungsi Platform Invoke (P/Invoke).
Deskripsi aturan
Secara default, P/Invoke berfungsi menggunakan DllImportAttribute menyelidiki sejumlah direktori, termasuk direktori kerja saat ini yang akan dimuat pustaka. Hal ini dapat menjadi masalah keamanan untuk aplikasi tertentu, yang mengarah ke pembajakan DLL.
Misalnya, jika DLL berbahaya dengan nama yang sama dengan yang diimpor ditempatkan di bawah direktori kerja saat ini, yang akan dicari terlebih dahulu secara default, maka DLL berbahaya dapat dimuat.
Untuk informasi selengkapnya, lihat Memuat Pustaka dengan Aman.
Cara memperbaiki pelanggaran
Gunakan DefaultDllImportSearchPathsAttribute untuk menentukan jalur pencarian DLL secara eksplisit untuk rakitan atau metode .
Kapan harus menekan peringatan
Aman untuk menyembunyikan aturan ini jika:
- Anda yakin assembly yang dimuat adalah yang Anda inginkan. Misalnya, aplikasi Anda berjalan di server tepercaya dan Anda benar-benar mempercayai file.
- Assembly yang diimpor adalah assembly yang umum digunakan, seperti user32.dll, dan strategi jalur pencarian mengikuti Mekanisme DLL yang diketahui.
Menyembunyikan peringatan
Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.
#pragma warning disable CA5392
// The code that's violating the rule is on this line.
#pragma warning restore CA5392
Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.
[*.{cs,vb}]
dotnet_diagnostic.CA5392.severity = none
Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.
Contoh kode semu
using System;
using System.Runtime.InteropServices;
class ExampleClass
{
[DllImport("The3rdAssembly.dll")]
public static extern int MessageBox(IntPtr hWnd, String text, String caption, uint type);
public void ExampleMethod()
{
MessageBox(new IntPtr(0), "Hello World!", "Hello Dialog", 0);
}
}
Solusi
using System;
using System.Runtime.InteropServices;
class ExampleClass
{
[DllImport("The3rdAssembly.dll")]
[DefaultDllImportSearchPaths(DllImportSearchPath.UserDirectories)]
public static extern int MessageBox(IntPtr hWnd, String text, String caption, uint type);
public void ExampleMethod()
{
MessageBox(new IntPtr(0), "Hello World!", "Hello Dialog", 0);
}
}
Aturan terkait
CA5393: Jangan gunakan nilai DllImportSearchPath yang tidak aman
Berkolaborasi dengan kami di GitHub
Sumber untuk konten ini dapat ditemukan di GitHub, yang juga dapat Anda gunakan untuk membuat dan meninjau masalah dan menarik permintaan. Untuk informasi selengkapnya, lihat panduan kontributor kami.
