Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
| Свойство | Значение |
|---|---|
| Идентификатор правила | CA5372 |
| Заголовок | Использование XmlReader для XPathDocument |
| Категория | Безопасность |
| Исправление является критическим или не критическим | Не критическое |
| Включен по умолчанию в .NET 10 | No |
Причина
Использование экземпляра класса XPathDocument, созданного без объекта XmlReader, может привести к отказу в обслуживании, раскрытию информации и подделкам запросов на стороне сервера. Эти атаки становятся возможными из-за недоверенных DTD и обработки схемы XML, которая позволяет включать бомбы XML и вредоносные внешние сущности в XML. Отключить DTD можно только с помощью XmlReader. Для обработки встроенной схемы XML в виде XmlReader свойство ProhibitDtd и ProcessInlineSchema по умолчанию имеет значение false в .NET Framework начиная с версии 4.0. Другие параметры, такие как Stream, TextReader и XmlSerializationReader, не могут отключить обработку DTD.
Описание правила
Обработка XML из недоверенных данных может привести к загрузке опасных внешних ссылок. Это можно ограничить, используя XmlReader с безопасным сопоставителем или отключив обработку DTD. Это правило обнаруживает код, использующий класс XPathDocument, и не принимает XmlReader в качестве параметра конструктора.
Устранение нарушений
Используйте конструкторы XPathDocument(XmlReader, *).
Когда лучше отключить предупреждения
Это предупреждение можно отключить, если объект XPathDocument используется для обработки XML-кода, полученного из доверенного источника, который нельзя незаконно изменить.
Отключение предупреждений
Если вы просто хотите отключить одно нарушение, добавьте директивы препроцессора в исходный файл, чтобы отключить и повторно включить правило.
#pragma warning disable CA5372
// The code that's violating the rule is on this line.
#pragma warning restore CA5372
Чтобы отключить правило для файла, папки или проекта, задайте его серьезность none в файле конфигурации.
[*.{cs,vb}]
dotnet_diagnostic.CA5372.severity = none
Дополнительные сведения см. в разделе Практическое руководство. Скрытие предупреждений анализа кода.
Примеры псевдокода
Нарушение
В приведенном ниже примере псевдокода показан шаблон, обнаруживаемый этим правилом.
Тип первого параметра XPathDocument не равен XmlReader.
using System.IO;
using System.Xml.XPath;
...
public void TestMethod(Stream stream)
{
var obj = new XPathDocument(stream);
}
Решение
using System.Xml;
using System.Xml.XPath;
...
public void TestMethod(XmlReader reader)
{
var obj = new XPathDocument(reader);
}
GitHub сайтында бізбен бірлесіп жұмыс істеу
Бұл мазмұнның көзін GitHub сайтында табуға болады. Онда сонымен бірге мәселелер мен өзгертулерді енгізу сұрауларын жасауға және қарап шығуға болады. Қосымша ақпарат алу үшін қатысушы нұсқаулығын қараңыз.
