CA3007: Code controleren op open omleidingsproblemen
| Eigenschappen | Weergegeven als |
|---|---|
| Regel-id | CA3007 |
| Titel | Code controleren op open omleidingsproblemen |
| Categorie | Beveiliging |
| Oplossing is brekend of niet-brekend | Niet-brekend |
| Standaard ingeschakeld in .NET 9 | Nee |
Oorzaak
Mogelijk niet-vertrouwde HTTP-aanvraaginvoer bereikt een HTTP-antwoordomleiding.
Deze regel analyseert standaard de hele codebasis, maar dit kan worden geconfigureerd.
Beschrijving van regel
Wanneer u werkt met niet-vertrouwde invoer, moet u rekening houden met open omleidingsproblemen. Een aanvaller kan misbruik maken van een open omleidingsprobleem om uw website te gebruiken om het uiterlijk van een legitieme URL te geven, maar een ongemoede bezoeker omleiden naar een phishing- of andere schadelijke webpagina.
Deze regel probeert invoer van HTTP-aanvragen te vinden die een HTTP-omleidings-URL bereiken.
Notitie
Met deze regel kunnen geen gegevens in assembly's worden bijgehouden. Als de ene assembly bijvoorbeeld de HTTP-aanvraaginvoer leest en deze vervolgens doorgeeft aan een andere assembly die reageert met een HTTP-omleiding, produceert deze regel geen waarschuwing.
Notitie
Er is een configureerbare limiet voor hoe diep deze regel de gegevensstroom analyseert tussen methode-aanroepen. Zie Analyzer Configuration voor het configureren van de limiet in een EditorConfig-bestand.
Schendingen oplossen
Enkele benaderingen voor het oplossen van beveiligingsproblemen met open omleidingen zijn onder andere:
- Sta gebruikers niet toe om omleidingen te initiëren.
- Sta gebruikers niet toe om een deel van de URL op te geven in een omleidingsscenario.
- Beperk omleidingen naar een vooraf gedefinieerde 'acceptatielijst' met URL's.
- Omleidings-URL's valideren.
- Overweeg, indien van toepassing, een disclaimerpagina te gebruiken wanneer gebruikers worden omgeleid van uw site.
Wanneer waarschuwingen onderdrukken
Als u weet dat u de invoer hebt gevalideerd om te worden beperkt tot de beoogde URL's, kunt u deze waarschuwing onderdrukken.
Een waarschuwing onderdrukken
Als u slechts één schending wilt onderdrukken, voegt u preprocessorrichtlijnen toe aan uw bronbestand om de regel uit te schakelen en vervolgens opnieuw in te schakelen.
#pragma warning disable CA3007
// The code that's violating the rule is on this line.
#pragma warning restore CA3007
Als u de regel voor een bestand, map of project wilt uitschakelen, stelt u de ernst none ervan in op het configuratiebestand.
[*.{cs,vb}]
dotnet_diagnostic.CA3007.severity = none
Zie Codeanalysewaarschuwingen onderdrukken voor meer informatie.
Code configureren om te analyseren
Gebruik de volgende opties om te configureren op welke onderdelen van uw codebase deze regel moet worden uitgevoerd.
U kunt deze opties configureren voor alleen deze regel, voor alle regels waarop deze van toepassing is, of voor alle regels in deze categorie (beveiliging) waarop deze van toepassing is. Zie de configuratieopties voor de codekwaliteitsregel voor meer informatie.
Specifieke symbolen uitsluiten
U kunt specifieke symbolen, zoals typen en methoden, uitsluiten van analyse. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op code binnen benoemde MyTypetypen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Toegestane notaties voor symboolnamen in de optiewaarde (gescheiden door |):
- Alleen symboolnaam (inclusief alle symbolen met de naam, ongeacht het type of de naamruimte).
- Volledig gekwalificeerde namen in de documentatie-id-indeling van het symbool. Voor elke symboolnaam is een voorvoegsel van het type symbool vereist, zoals
M:voor methoden,T:voor typen enN:voor naamruimten. .ctorvoor constructors en.cctorvoor statische constructors.
Voorbeelden:
| Optiewaarde | Samenvatting |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Komt overeen met alle symbolen met de naam MyType. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Komt overeen met alle symbolen met de naam of MyType1 MyType2. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Komt overeen met een specifieke methode MyMethod met de opgegeven volledig gekwalificeerde handtekening. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Komt overeen met specifieke methoden MyMethod1 en MyMethod2 met de respectieve volledig gekwalificeerde handtekeningen. |
Specifieke typen en hun afgeleide typen uitsluiten
U kunt specifieke typen en hun afgeleide typen uitsluiten van analyse. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op methoden binnen benoemde MyType typen en de afgeleide typen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Toegestane notaties voor symboolnamen in de optiewaarde (gescheiden door |):
- Alleen de naam van het type (bevat alle typen met de naam, ongeacht het type of de naamruimte).
- Volledig gekwalificeerde namen in de documentatie-id-indeling van het symbool, met een optioneel
T:voorvoegsel.
Voorbeelden:
| Optiewaarde | Samenvatting |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Komt overeen met alle typen met de naam MyType en alle afgeleide typen. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Komt overeen met alle typen met de naam MyType1 of MyType2 en alle afgeleide typen. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Komt overeen met een specifiek type MyType met een volledig gekwalificeerde naam en alle afgeleide typen. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Komt overeen met specifieke typen MyType1 en MyType2 met de respectieve volledig gekwalificeerde namen en alle afgeleide typen. |
Voorbeelden van pseudocode
Schending
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string input = Request.Form["url"];
this.Response.Redirect(input);
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, eventArgs As EventArgs)
Dim input As String = Me.Request.Form("url")
Me.Response.Redirect(input)
End Sub
End Class
Oplossing
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string input = Request.Form["in"];
if (String.IsNullOrWhiteSpace(input))
{
this.Response.Redirect("https://example.org/login.html");
}
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, eventArgs As EventArgs)
Dim input As String = Me.Request.Form("in")
If String.IsNullOrWhiteSpace(input) Then
Me.Response.Redirect("https://example.org/login.html")
End If
End Sub
End Class
