CA5363:要求の検証を無効にしません
| プロパティ | 値 |
|---|---|
| ルール ID | CA5363 |
| Title | 要求の検証を無効にしません |
| [カテゴリ] | Security |
| 修正が中断か中断なしであるか | なし |
| .NET 8 では既定で有効 | いいえ |
原因
クラスまたはメソッドの属性 ValidateInput が false に設定されています。
規則の説明
要求の検証は、ASP.NET の機能の 1 つで、HTTP 要求を調べ、その要求にクロスサイトスクリプティングを含むインジェクション攻撃につながる可能性のある危険なコンテンツが含まれていないかどうかを確認します。
違反の修正方法
ValidateInput 属性を true に設定するか、完全に削除します。 または、AllowHTMLAttribute を使用して、入力の特定の部分で HTML を許可します。
どのようなときに警告を抑制するか
受信 HTTP 要求のすべてのペイロードが信頼されたエンティティから供給され、転送前または転送中に攻撃者によって改ざんされない場合は、この違反を抑制できます。
警告を抑制する
単一の違反を抑制するだけの場合は、ソース ファイルにプリプロセッサ ディレクティブを追加して無効にしてから、規則をもう一度有効にします。
#pragma warning disable CA5363
// The code that's violating the rule is on this line.
#pragma warning restore CA5363
ファイル、フォルダー、またはプロジェクトの規則を無効にするには、構成ファイルでその重要度を none に設定します。
[*.{cs,vb}]
dotnet_diagnostic.CA5363.severity = none
詳細については、「コード分析の警告を抑制する方法」を参照してください。
疑似コードの例
違反
次の擬似コード サンプルでは、この規則により検出されたパターンを示しています。 これにより、入力の検証が無効になります。
using System.Web.Mvc;
class TestControllerClass
{
[ValidateInput(false)]
public void TestActionMethod()
{
}
}
解決策
using System.Web.Mvc;
class TestControllerClass
{
[ValidateInput(true)]
public void TestActionMethod()
{
}
}
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
.NET
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示