CA3002: Code controleren op XSS-beveiligingsproblemen

Artikel
02/15/2024

Eigenschappen	Weergegeven als
Regel-id	CA3002
Titel	Code controleren op XSS-beveiligingsproblemen
Categorie	Beveiliging
Oplossing is brekend of niet-brekend	Niet-brekend
Standaard ingeschakeld in .NET 9	Nee

Oorzaak

Mogelijk niet-vertrouwde HTTP-aanvraaginvoer bereikt onbewerkte HTML-uitvoer.

Deze regel analyseert standaard de hele codebasis, maar dit kan worden geconfigureerd.

Beschrijving van regel

Wanneer u werkt met niet-vertrouwde invoer van webaanvragen, moet u rekening houden met XSS-aanvallen (cross-site scripting). Een XSS-aanval injecteert niet-vertrouwde invoer in onbewerkte HTML-uitvoer, zodat de aanvaller schadelijke scripts kan uitvoeren of inhoud op uw webpagina kan wijzigen. Een typische techniek is het plaatsen <script> van elementen met schadelijke code in invoer. Zie XSS van OWASP voor meer informatie.

Deze regel probeert invoer van HTTP-aanvragen te vinden die onbewerkte HTML-uitvoer bereiken.

Notitie

Met deze regel kunnen geen gegevens in assembly's worden bijgehouden. Als een assembly bijvoorbeeld de HTTP-aanvraaginvoer leest en deze vervolgens doorgeeft aan een andere assembly die onbewerkte HTML uitvoert, produceert deze regel geen waarschuwing.

Notitie

Er is een configureerbare limiet voor hoe diep deze regel de gegevensstroom analyseert tussen methode-aanroepen. Zie Analyzer Configuration voor het configureren van de limiet in een EditorConfig-bestand.

Schendingen oplossen

In plaats van onbewerkte HTML uit te voeren, gebruikt u een methode of eigenschap die de invoer codeert.
HTML-codeer niet-vertrouwde gegevens voordat onbewerkte HTML wordt uitgevoerd.

Wanneer waarschuwingen onderdrukken

Het is veilig om een waarschuwing van deze regel te onderdrukken als:

U weet dat de invoer wordt gevalideerd op basis van een bekende veilige set tekens die geen HTML bevatten.
U weet dat de gegevens html-gecodeerd zijn op een manier die niet door deze regel wordt gedetecteerd.

Notitie

Deze regel kan fout-positieven rapporteren voor sommige methoden of eigenschappen die hun invoer coderen met HTML.

Een waarschuwing onderdrukken

Als u slechts één schending wilt onderdrukken, voegt u preprocessorrichtlijnen toe aan uw bronbestand om de regel uit te schakelen en vervolgens opnieuw in te schakelen.

#pragma warning disable CA3002
// The code that's violating the rule is on this line.
#pragma warning restore CA3002

Als u de regel voor een bestand, map of project wilt uitschakelen, stelt u de ernst none ervan in op het configuratiebestand.

[*.{cs,vb}]
dotnet_diagnostic.CA3002.severity = none

Zie Codeanalysewaarschuwingen onderdrukken voor meer informatie.

Code configureren om te analyseren

Gebruik de volgende opties om te configureren op welke onderdelen van uw codebase deze regel moet worden uitgevoerd.

Specifieke symbolen uitsluiten
Specifieke typen en hun afgeleide typen uitsluiten

U kunt deze opties configureren voor alleen deze regel, voor alle regels waarop deze van toepassing is, of voor alle regels in deze categorie (beveiliging) waarop deze van toepassing is. Zie de configuratieopties voor de codekwaliteitsregel voor meer informatie.

Specifieke symbolen uitsluiten

U kunt specifieke symbolen, zoals typen en methoden, uitsluiten van analyse. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op code binnen benoemde MyTypetypen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

Toegestane notaties voor symboolnamen in de optiewaarde (gescheiden door |):

Alleen symboolnaam (inclusief alle symbolen met de naam, ongeacht het type of de naamruimte).
Volledig gekwalificeerde namen in de documentatie-id-indeling van het symbool. Voor elke symboolnaam is een voorvoegsel van het type symbool vereist, zoals M: voor methoden, T: voor typen en N: voor naamruimten.
.ctor voor constructors en .cctor voor statische constructors.

Voorbeelden:

Optiewaarde	Samenvatting
`dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType`	Komt overeen met alle symbolen met de naam `MyType`.
`dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1\|MyType2`	Komt overeen met alle symbolen met de naam of `MyType1` `MyType2`.
`dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType)`	Komt overeen met een specifieke methode `MyMethod` met de opgegeven volledig gekwalificeerde handtekening.
`dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)\|M:NS2.MyType2.MyMethod2(ParamType)`	Komt overeen met specifieke methoden `MyMethod1` en `MyMethod2` met de respectieve volledig gekwalificeerde handtekeningen.

Specifieke typen en hun afgeleide typen uitsluiten

U kunt specifieke typen en hun afgeleide typen uitsluiten van analyse. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op methoden binnen benoemde MyType typen en de afgeleide typen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

Toegestane notaties voor symboolnamen in de optiewaarde (gescheiden door |):

Alleen de naam van het type (bevat alle typen met de naam, ongeacht het type of de naamruimte).
Volledig gekwalificeerde namen in de documentatie-id-indeling van het symbool, met een optioneel T: voorvoegsel.

Voorbeelden:

Optiewaarde	Samenvatting
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType`	Komt overeen met alle typen met de naam `MyType` en alle afgeleide typen.
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1\|MyType2`	Komt overeen met alle typen met de naam `MyType1` of `MyType2` en alle afgeleide typen.
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType`	Komt overeen met een specifiek type `MyType` met een volledig gekwalificeerde naam en alle afgeleide typen.
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1\|M:NS2.MyType2`	Komt overeen met specifieke typen `MyType1` en `MyType2` met de respectieve volledig gekwalificeerde namen en alle afgeleide typen.

Voorbeelden van pseudocode

Schending

using System;

public partial class WebForm : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        string input = Request.Form["in"];
        Response.Write("<HTML>" + input + "</HTML>");
    }
}

Imports System

Partial Public Class WebForm
    Inherits System.Web.UI.Page

    Protected Sub Page_Load(sender As Object, e As EventArgs)
        Dim input As String = Me.Request.Form("in")
        Me.Response.Write("<HTML>" + input + "</HTML>")
    End Sub
End Class

Oplossing

using System;

public partial class WebForm : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        string input = Request.Form["in"];

        // Example usage of System.Web.HttpServerUtility.HtmlEncode().
        Response.Write("<HTML>" + Server.HtmlEncode(input) + "</HTML>");
    }
}

Imports System

Partial Public Class WebForm
    Inherits System.Web.UI.Page

    Protected Sub Page_Load(sender As Object, e As EventArgs)
        Dim input As String = Me.Request.Form("in")

        ' Example usage of System.Web.HttpServerUtility.HtmlEncode().
        Me.Response.Write("<HTML>" + Me.Server.HtmlEncode(input) + "</HTML>")
    End Sub
End Class

Share via

CA3002: Code controleren op XSS-beveiligingsproblemen

Oorzaak

Beschrijving van regel

Schendingen oplossen

Wanneer waarschuwingen onderdrukken

Een waarschuwing onderdrukken

Code configureren om te analyseren

Specifieke symbolen uitsluiten

Specifieke typen en hun afgeleide typen uitsluiten

Voorbeelden van pseudocode

Schending

Oplossing

Aanvullende resources