CA5395: Atribut Miss HttpVerb untuk metode tindakan
| Properti | Nilai |
|---|---|
| ID Aturan | CA5395 |
| Judul | Atribut Miss HttpVerb untuk metode tindakan |
| Golongan | Keamanan |
| Perbaikan bersifat disruptif atau non-disruptif | Non-disruptif |
| Diaktifkan secara default di .NET 8 | Tidak |
Penyebab
Tidak menentukan jenis permintaan HTTP secara eksplisit untuk metode tindakan.
Deskripsi aturan
Semua metode tindakan yang membuat, mengedit, menghapus, atau mengubah data perlu dilindungi dengan atribut anti pemalsuan dari serangan pemalsuan permintaan antar situs. Melakukan operasi GET harus menjadi operasi yang aman yang tidak memiliki efek samping dan tidak mengubah data Anda yang disimpan.
Cara memperbaiki pelanggaran
Tandai metode tindakan dengan HttpVerb atribut.
Kapan harus menekan peringatan
Aman untuk menekan peringatan dari aturan ini jika:
- Anda yakin bahwa tidak ada operasi modifikasi yang terjadi dalam metode tindakan. Atau, ini bukan metode tindakan sama sekali.
- Solusi selain menggunakan atribut token antiforgery diadopsi untuk mengurangi kerentanan CSRF. Untuk informasi selengkapnya, lihat Mencegah serangan Pemalsuan Permintaan Antar Situs (XSRF/CSRF) di ASP.NET Core.
Menyembunyikan peringatan
Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.
#pragma warning disable CA5395
// The code that's violating the rule is on this line.
#pragma warning restore CA5395
Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.
[*.{cs,vb}]
dotnet_diagnostic.CA5395.severity = none
Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.
Contoh kode semu
Pelanggaran
using Microsoft.AspNetCore.Mvc;
[ValidateAntiForgeryToken]
class BlahController : Controller
{
}
class ExampleController : Controller
{
public IActionResult ExampleAction()
{
return null;
}
}
Solusi
using Microsoft.AspNetCore.Mvc;
[ValidateAntiForgeryToken]
class BlahController : Controller
{
}
class ExampleController : Controller
{
[HttpGet]
public IActionResult ExampleAction()
{
return null;
}
}
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk