Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
| Eigenschap | Waarde |
|---|---|
| Regel-id | CA3010 |
| Titel | Code controleren op beveiligingsproblemen met XAML-injectie |
| Categorie | Beveiliging |
| Fix kan brekend of niet-brekend zijn | Niet-brekend |
| Standaard ingeschakeld in .NET 10 | Nee |
| Toepasselijke talen | C# en Visual Basic |
Oorzaak
Mogelijk niet-vertrouwde HTTP-verzoekinvoer bereikt een System.Windows.Markup.XamlReader laadmethode.
Deze regel analyseert standaard de hele codebasis, maar dit kan worden geconfigureerd.
Beschrijving van regel
Wanneer u met niet-vertrouwde invoer werkt, moet u rekening houden met XAML-injectieaanvallen. XAML is een opmaaktaal die rechtstreeks staat voor object instantiƫring en uitvoering. Dit betekent dat elementen die in XAML zijn gemaakt, kunnen communiceren met systeembronnen (bijvoorbeeld netwerktoegang en IO van het bestandssysteem). Als een aanvaller de invoer kan beheren voor een aanroep van een System.Windows.Markup.XamlReader load-methode, kan de aanvaller code uitvoeren.
Deze regel probeert invoer te vinden van HTTP-aanvragen die een System.Windows.Markup.XamlReader load-methode bereiken.
Notitie
Deze regel kan geen gegevens in assembly's bijhouden. Als een assembly bijvoorbeeld de HTTP-aanvraaginvoer leest en deze vervolgens doorgeeft aan een andere assembly die XAML laadt, produceert deze regel geen waarschuwing.
Notitie
Er is een configureerbare limiet voor hoe diep deze regel de gegevensstroom analyseert tussen methode-aanroepen. Zie Analyzer Configuration voor het configureren van de limiet in een EditorConfig-bestand.
Hoe schendingen op te lossen
Laad niet-vertrouwde XAML niet.
Wanneer waarschuwingen onderdrukken
Onderdrukt geen waarschuwingen van deze regel.
Code configureren om te analyseren
Gebruik de volgende opties om te configureren op welke onderdelen van uw codebase deze regel moet worden uitgevoerd.
U kunt deze opties configureren voor alleen deze regel, voor alle regels waarop ze van toepassing zijn, of voor alle regels in deze categorie (Security) waarop ze van toepassing zijn. Zie de configuratieopties voor de codekwaliteitsregel voor meer informatie.
Specifieke symbolen uitsluiten
U kunt specifieke symbolen, zoals typen en methoden, uitsluiten van analyse door de optie excluded_symbol_names in te stellen. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op code binnen benoemde MyTypetypen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Notitie
Vervang het XXXX deel van CAXXXX door de id van de toepasselijke regel.
Toegestane formaten van symboolnamen in de optiewaarde (gescheiden door |):
- Alleen symboolnaam (inclusief alle symbolen met de naam, ongeacht het type of de naamruimte).
- Volledig gekwalificeerde namen in de documentatie-ID-indeling van het symbool. Voor elke symboolnaam is een voorvoegsel van het type symbool vereist, zoals
M:voor methoden,T:voor typen enN:voor naamruimten. -
.ctorvoor constructors en.cctorvoor statische constructors.
Voorbeelden:
| Optiewaarde | Samenvatting |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Komt overeen met alle symbolen met de naam MyType. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Komt overeen met alle symbolen met de naam MyType1 of MyType2. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Komt overeen met een specifieke methode MyMethod met de opgegeven volledig gekwalificeerde handtekening. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Komt overeen met specifieke methoden MyMethod1 en MyMethod2 met de respectieve volledig gekwalificeerde handtekeningen. |
Specifieke typen en hun afgeleide typen uitsluiten
U kunt specifieke typen en hun afgeleide typen uitsluiten van analyse door de optie excluded_type_names_with_derived_types in te stellen. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op methoden binnen benoemde MyType typen en de afgeleide typen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Notitie
Vervang het XXXX deel van CAXXXX door de id van de toepasselijke regel.
Toegestane formaten van symboolnamen in de optiewaarde (gescheiden door |):
- Alleen de naam van het type (bevat alle typen met de naam, ongeacht het type of de naamruimte).
- Volledig gekwalificeerde namen in de indeling van de documentatie-ID van het symbool
, met een optioneel voorvoegsel.
Voorbeelden:
| Optiewaarde | Samenvatting |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Komt overeen met alle typen met de naam MyType en alle afgeleide typen. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Komt overeen met alle typen met de naam MyType1 of MyType2 en alle afgeleide typen. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Komt overeen met een specifiek type MyType met een volledig gekwalificeerde naam en alle afgeleide typen. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Komt overeen met specifieke typen MyType1 en MyType2 met hun respectieve volledig gekwalificeerde namen, en alle afgeleide typen. |
Voorbeelden van pseudocode
Schending
using System;
using System.IO;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string input = Request.Form["in"];
byte[] bytes = Convert.FromBase64String(input);
MemoryStream ms = new MemoryStream(bytes);
System.Windows.Markup.XamlReader.Load(ms);
}
}
Imports System
Imports System.IO
Public Partial Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, e As EventArgs)
Dim input As String = Request.Form("in")
Dim bytes As Byte() = Convert.FromBase64String(input)
Dim ms As MemoryStream = New MemoryStream(bytes)
System.Windows.Markup.XamlReader.Load(ms)
End Sub
End Class
Met ons samenwerken op GitHub
De bron voor deze inhoud vindt u op GitHub, waar u ook problemen en pull-aanvragen kunt maken en controleren. Bekijk onze gids voor inzenders voor meer informatie.
