Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
| Свойство | Значение |
|---|---|
| Идентификатор правила | CA5359 |
| Заголовок | не отключайте проверку сертификатов |
| Категория | Безопасность |
| Исправление является критическим или не критическим | неразрывный |
| Включен по умолчанию в .NET 10 | Нет |
| Применимые языки | C# и Visual Basic |
Причина
Обратный вызов, назначенный ServicePointManager.ServerCertificateValidationCallback, всегда возвращает true.
Описание правила
Сертификат может помочь при проверке подлинности идентичности сервера. Клиенты должны проверить сертификат сервера, чтобы обеспечить отправку запросов на нужный сервер. Если ServicePointManager.ServerCertificateValidationCallback всегда возвращает значение true, по умолчанию любой сертификат будет проходить проверку для всех исходящих HTTPS-запросов.
Устранение нарушений
- Следует переопределить логику проверки сертификатов для исходящих HTTPS-запросов, требующих специальной проверки сертификатов, вместо изменения глобальных настроек ServicePointManager.ServerCertificateValidationCallback.
- Применяйте пользовательскую логику проверки только к конкретным именам узлов и сертификатам, в остальных случаях проверьте, что значение перечисления SslPolicyErrors соответствует
None.
Когда лучше отключить предупреждения
Если к объекту присоединяется несколько делегатов ServerCertificateValidationCallback, учитывается только значение последнего делегата, поэтому можно отключить предупреждения от других делегатов. Однако может потребоваться полностью удалить неиспользуемые делегаты.
Отключение предупреждений
Если вы просто хотите отключить одно нарушение, добавьте директивы препроцессора в исходный файл, чтобы отключить и повторно включить правило.
#pragma warning disable CA5359
// The code that's violating the rule is on this line.
#pragma warning restore CA5359
Чтобы отключить правило для файла, папки или проекта, задайте его серьезность none в файле конфигурации.
[*.{cs,vb}]
dotnet_diagnostic.CA5359.severity = none
Дополнительные сведения см. в разделе Практическое руководство. Скрытие предупреждений анализа кода.
Примеры псевдокода
Нарушение
using System.Net;
class ExampleClass
{
public void ExampleMethod()
{
ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, error) => { return true; };
}
}
Решение
using System.Net;
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;
class ExampleClass
{
public void ExampleMethod()
{
ServicePointManager.ServerCertificateValidationCallback += SelfSignedForLocalhost;
}
private static bool SelfSignedForLocalhost(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
if (sslPolicyErrors == SslPolicyErrors.None)
{
return true;
}
// For HTTPS requests to this specific host, we expect this specific certificate.
// In practice, you'd want this to be configurable and allow for multiple certificates per host, to enable
// seamless certificate rotations.
return sender is HttpWebRequest httpWebRequest
&& httpWebRequest.RequestUri.Host == "localhost"
&& certificate is X509Certificate2 x509Certificate2
&& x509Certificate2.Thumbprint == "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
&& sslPolicyErrors == SslPolicyErrors.RemoteCertificateChainErrors;
}
}
GitHub сайтында бізбен бірлесіп жұмыс істеу
Бұл мазмұнның көзін GitHub сайтында табуға болады. Онда сонымен бірге мәселелер мен өзгертулерді енгізу сұрауларын жасауға және қарап шығуға болады. Қосымша ақпарат алу үшін қатысушы нұсқаулығын қараңыз.
