CA3061:URL でスキーマを追加しません
| プロパティ | 値 |
|---|---|
| ルール ID | CA3061 |
| Title | URL でスキーマを追加しません |
| [カテゴリ] | Security |
| 修正が中断か中断なしであるか | なし |
| .NET 8 では既定で有効 | いいえ |
原因
XmlSchemaCollection.Add(String, String) のオーバーロードでは、URI の形式で XML スキーマを指定するために XmlUrlResolver を使用しています。 URI 文字列が汚染されている場合は、XML 爆弾や悪意のある外部エンティティを含めることができる、悪意のある XML スキーマの解析につながる可能性があります。 これにより、悪意のある攻撃者がサービス拒否、情報漏えい、またはサーバー側のリクエスト フォージェリ攻撃を実行できる可能性があります。
規則の説明
危険な外部参照を引き起こす可能性があるため、Add メソッドの安全でないオーバーロードは使用しないでください。
違反の修正方法
XmlSchemaCollection.Add(String, String)は使用しないでください。
どのようなときに警告を抑制するか
XML で危険な外部参照が解決されないとわかっている場合は、この規則を抑制します。
警告を抑制する
単一の違反を抑制するだけの場合は、ソース ファイルにプリプロセッサ ディレクティブを追加して無効にしてから、規則をもう一度有効にします。
#pragma warning disable CA3061
// The code that's violating the rule is on this line.
#pragma warning restore CA3061
ファイル、フォルダー、またはプロジェクトの規則を無効にするには、構成ファイルでその重要度を none に設定します。
[*.{cs,vb}]
dotnet_diagnostic.CA3061.severity = none
詳細については、「コード分析の警告を抑制する方法」を参照してください。
疑似コードの例
違反
次の擬似コード サンプルでは、この規則により検出されたパターンを示しています。
2 番目のパラメーターの型は string です。
using System;
using System.Xml.Schema;
...
XmlSchemaCollection xsc = new XmlSchemaCollection();
xsc.Add("urn: bookstore - schema", "books.xsd");
解決策
using System;
using System.IO;
using System.Xml;
using System.Xml.Schema;
...
XmlSchemaCollection xsc = new XmlSchemaCollection();
xsc.Add("urn: bookstore - schema", new XmlTextReader(new FileStream(""xmlFilename"", FileMode.Open)));
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
.NET