CA5363: Não desative a validação de solicitação
| Propriedade | valor |
|---|---|
| ID da regra | CA5363 |
| Cargo | Não desativar a validação de solicitação |
| Categoria | Segurança |
| A correção está quebrando ou não quebrando | Sem quebra |
| Habilitado por padrão no .NET 8 | Não |
Causa
O atributo ValidateInput é definido como false para uma classe ou método.
Descrição da regra
A validação de solicitação é um recurso no ASP.NET que examina solicitações HTTP e determina se elas contêm conteúdo potencialmente perigoso que pode levar a ataques de injeção, incluindo scripts entre sites.
Como corrigir violações
Defina o atributo ou true exclua-o ValidateInput completamente. Como alternativa, use AllowHTMLAttribute para permitir HTML em partes específicas da entrada.
Quando suprimir avisos
Você pode suprimir essa violação se toda a carga na solicitação HTTP de entrada for proveniente de uma entidade confiável e não puder ser adulterada por um adversário antes ou durante o transporte.
Suprimir um aviso
Se você quiser apenas suprimir uma única violação, adicione diretivas de pré-processador ao seu arquivo de origem para desativar e, em seguida, reativar a regra.
#pragma warning disable CA5363
// The code that's violating the rule is on this line.
#pragma warning restore CA5363
Para desabilitar a regra para um arquivo, pasta ou projeto, defina sua severidade como none no arquivo de configuração.
[*.{cs,vb}]
dotnet_diagnostic.CA5363.severity = none
Para obter mais informações, consulte Como suprimir avisos de análise de código.
Exemplos de pseudocódigo
Violação
O exemplo de pseudocódigo a seguir ilustra o padrão detetado por essa regra. Isso desabilita a validação de entrada.
using System.Web.Mvc;
class TestControllerClass
{
[ValidateInput(false)]
public void TestActionMethod()
{
}
}
Solução
using System.Web.Mvc;
class TestControllerClass
{
[ValidateInput(true)]
public void TestActionMethod()
{
}
}
