CA5366: XmlReader gebruiken voor het lezen van XML-gegevensset
| Eigenschappen | Weergegeven als |
|---|---|
| Regel-id | CA5366 |
| Titel | XmlReader gebruiken voor lees-XML van DataSet |
| Categorie | Beveiliging |
| Oplossing is brekend of niet-brekend | Niet-brekend |
| Standaard ingeschakeld in .NET 9 | Nee |
Oorzaak
Een documenttypedefinitie (DTD) definieert de structuur en de juridische elementen en kenmerken van een XML-document. Als u verwijst naar een DTD van een externe resource, kan dit leiden tot mogelijke DoS-aanvallen (Denial of Service). De meeste lezers kunnen DTD-verwerking niet uitschakelen en het laden van externe verwijzingen beperken, met uitzondering van System.Xml.XmlReader. Als u deze andere lezers gebruikt om XML te laden met een van de volgende methoden, wordt deze regel geactiveerd:
Beschrijving van regel
Het gebruik van een System.Data.DataSet xml-bestand met niet-vertrouwde gegevens kan gevaarlijke externe verwijzingen laden. Dit moet worden beperkt door een XmlReader beveiligde resolver te gebruiken of met DTD-verwerking uitgeschakeld.
Schendingen oplossen
Gebruik XmlReader of de afgeleide klassen om XML te lezen.
Wanneer waarschuwingen onderdrukken
Onderdrukt een waarschuwing van deze regel bij het omgaan met een vertrouwde gegevensbron.
Een waarschuwing onderdrukken
Als u slechts één schending wilt onderdrukken, voegt u preprocessorrichtlijnen toe aan uw bronbestand om de regel uit te schakelen en vervolgens opnieuw in te schakelen.
#pragma warning disable CA5366
// The code that's violating the rule is on this line.
#pragma warning restore CA5366
Als u de regel voor een bestand, map of project wilt uitschakelen, stelt u de ernst none ervan in op het configuratiebestand.
[*.{cs,vb}]
dotnet_diagnostic.CA5366.severity = none
Zie Codeanalysewaarschuwingen onderdrukken voor meer informatie.
Voorbeelden van pseudocode
Schending
using System.Data;
using System.IO;
public class ExampleClass
{
public void ExampleMethod()
{
new DataSet().ReadXml(new FileStream("xmlFilename", FileMode.Open));
}
}
Oplossing
using System.Data;
using System.IO;
using System.Xml;
public class ExampleClass
{
public void ExampleMethod()
{
new DataSet().ReadXml(new XmlTextReader(new FileStream("xmlFilename", FileMode.Open)));
}
}
