CA2351: Se till att DataSet.ReadXml()-indata är betrodda
| Property | Värde |
|---|---|
| Regel-ID | CA2351 |
| Rubrik | Kontrollera att DataSet.ReadXml()-indata är betrodda |
| Kategori | Säkerhet |
| Korrigeringen är icke-bakåtkompatibel | Icke-icke-bryta |
| Aktiverad som standard i .NET 8 | Nej |
Orsak
Metoden DataSet.ReadXml anropades eller refererades till, och inte i automatiskt genererad kod.
Den här regeln klassificerar automatiskt genererad kod b:
- Att vara i en metod med namnet
ReadXmlSerializable. - Metoden
ReadXmlSerializablehar en System.Diagnostics.DebuggerNonUserCodeAttribute. - Metoden
ReadXmlSerializableär inom en typ som har en System.ComponentModel.DesignerCategoryAttribute.
CA2361 är en liknande regel, för när DataSet.ReadXml visas i automatiskt genererad kod.
Regelbeskrivning
När en angripare deserialiserar en DataSet med ej betrodda indata kan den skapa skadliga indata för att utföra en överbelastningsattack. Det kan finnas okända sårbarheter för fjärrkörning av kod.
Mer information finns i Säkerhetsvägledning för DataSet och DataTable.
Så här åtgärdar du överträdelser
- Om möjligt använder du Entity Framework i stället för DataSet.
- Gör serialiserade data manipuleringssäkra. Efter serialiseringen signerar kryptografiskt serialiserade data. Verifiera den kryptografiska signaturen innan deserialiseringen. Skydda den kryptografiska nyckeln från att avslöjas och utformas för nyckelrotationer.
När du ska ignorera varningar
Det är säkert att ignorera en varning från den här regeln om:
- Du vet att indata är betrodda. Tänk på att programmets förtroendegräns och dataflöden kan ändras över tid.
- Du har vidtagit en av försiktighetsåtgärderna i Så här åtgärdar du överträdelser.
Ignorera en varning
Om du bara vill förhindra en enda överträdelse lägger du till förprocessordirektiv i källfilen för att inaktivera och aktiverar sedan regeln igen.
#pragma warning disable CA2351
// The code that's violating the rule is on this line.
#pragma warning restore CA2351
Om du vill inaktivera regeln för en fil, mapp eller ett projekt anger du dess allvarlighetsgrad till none i konfigurationsfilen.
[*.{cs,vb}]
dotnet_diagnostic.CA2351.severity = none
Mer information finns i Så här utelämnar du kodanalysvarningar.
Exempel på pseudokod
Kränkning
using System.Data;
public class ExampleClass
{
public DataSet MyDeserialize(string untrustedXml)
{
DataSet dt = new DataSet();
dt.ReadXml(untrustedXml);
}
}
Relaterade regler
CA2350: Se till att DataTable.ReadXml()-indata är betrodda
CA2353: Osäker datauppsättning eller DataTable i serialiserbar typ
CA2355: Osäker datauppsättning eller datatabell i deserialiserat objektdiagram
CA2356: Osäker datauppsättning eller datatabell i webbdeserialiserat objektdiagram
