Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
| Eigenschap | Waarde |
|---|---|
| Regel-id | CA5366 |
| Titel | XmlReader gebruiken om XML naar DataSet te lezen |
| Categorie | Beveiliging |
| Fix kan brekend of niet-brekend zijn | Niet-brekend |
| Standaard ingeschakeld in .NET 10 | Nee |
| Toepasselijke talen | C# en Visual Basic |
Oorzaak
Een documenttypedefinitie (DTD) definieert de structuur en de juridische elementen en kenmerken van een XML-document. Als u verwijst naar een DTD van een externe resource, kan dit leiden tot mogelijke DoS-aanvallen (Denial of Service). De meeste lezers kunnen DTD-verwerking niet uitschakelen en het laden van externe verwijzingen beperken, met uitzondering van System.Xml.XmlReader. Als u deze andere lezers gebruikt om XML te laden met een van de volgende methoden, wordt deze regel geactiveerd:
Beschrijving van regel
Het gebruik van een System.Data.DataSet om XML te lezen met niet-vertrouwde gegevens kan gevaarlijke externe verwijzingen laden, wat moet worden voorkomen door een XmlReader te gebruiken met een beveiligde resolver of door DTD-verwerking uit te schakelen.
Hoe schendingen op te lossen
Gebruik XmlReader of de afgeleide klassen om XML te lezen.
Wanneer waarschuwingen onderdrukken
Onderdrukt een waarschuwing van deze regel bij het omgaan met een vertrouwde gegevensbron.
Een waarschuwing onderdrukken
Als u slechts één schending wilt onderdrukken, voegt u preprocessorrichtlijnen toe aan uw bronbestand om de regel uit te schakelen en vervolgens opnieuw in te schakelen.
#pragma warning disable CA5366
// The code that's violating the rule is on this line.
#pragma warning restore CA5366
Als u de regel voor een bestand, map of project wilt uitschakelen, stelt u de ernst none ervan in op het configuratiebestand.
[*.{cs,vb}]
dotnet_diagnostic.CA5366.severity = none
Zie voor meer informatie Hoe codeanalysewaarschuwingen te onderdrukken.
Voorbeelden van pseudocode
Schending
using System.Data;
using System.IO;
public class ExampleClass
{
public void ExampleMethod()
{
new DataSet().ReadXml(new FileStream("xmlFilename", FileMode.Open));
}
}
Oplossing
using System.Data;
using System.IO;
using System.Xml;
public class ExampleClass
{
public void ExampleMethod()
{
new DataSet().ReadXml(new XmlTextReader(new FileStream("xmlFilename", FileMode.Open)));
}
}
Werk met ons samen op GitHub
De bron voor deze inhoud vindt u op GitHub, waar u ook problemen en pull-aanvragen kunt maken en bekijken. Raadpleeg onze gids voor inzenders voor meer informatie.
