CA5369: Seri Durumdan Çıkarmak için XmlReader Kullanma
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA5369 |
| Başlık | Seri durumdan çıkarma için XmlReader kullanma |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 8'de varsayılan olarak etkin | Hayır |
Neden
Nesne olmadan XmlReader örneklenmiş güvenilir olmayan XML girişinin XmlSerializer.Deserialize seri durumdan çıkarılması hizmet reddine, bilgilerin açığa çıkmasına ve sunucu tarafı istek sahteciliği saldırılarına yol açabilir. Bu saldırılar, XML bombalarının ve kötü amaçlı dış varlıkların XML'ye eklenmesini sağlayan güvenilmeyen DTD ve XML şeması işleme tarafından etkinleştirilir. Yalnızca ile DTD'yi XmlReader devre dışı bırakmak mümkündür. .NET Framework sürüm 4.0 ve sonraki sürümlerinde ve ProcessInlineSchema özelliği varsayılan olarak olarak ayarlanmış false olduğu gibi XmlReaderProhibitDtd satır içi XML şeması işleme. , TextReaderve XmlSerializationReader gibi Streamdiğer seçenekler DTD işlemeyi devre dışı bırakamaz.
Kural açıklaması
Güvenilmeyen DTD ve XML şemalarının işlenmesi tehlikeli dış başvuruların yüklenmesine olanak tanıyabilir. Bu, güvenli bir çözümleyici ile veya DTD ve XML satır içi şema işleme devre dışı bırakılarak kısıtlanmalıdır XmlReader . Bu kural yöntemini kullanan XmlSerializer.Deserialize kodu algılar ve oluşturucu parametresi olarak almaz XmlReader .
İhlalleri düzeltme
, , Deserialize(XmlReader, XmlDeserializationEvents)Deserialize(XmlReader, String)veya Deserialize(XmlReader, String, XmlDeserializationEvents)dışındaki Deserialize(XmlReader)aşırı yüklemeleri kullanmayınXmlSerializer.Deserialize.
Uyarıların ne zaman bastırılması gerekiyor?
Ayrıştırılan XML güvenilir bir kaynaktan geliyorsa ve bu nedenle üzerinde oynanamazsa, bu uyarıyı potansiyel olarak gizleyebilirsiniz.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA5369
// The code that's violating the rule is on this line.
#pragma warning restore CA5369
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini noneolarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA5369.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
Ihlal
Aşağıdaki sahte kod örneği, bu kural tarafından algılanan deseni gösterir.
İlk parametresinin XmlSerializer.Deserialize türü veya XmlReader türetilmiş bir sınıf değildir.
using System.IO;
using System.Xml.Serialization;
...
new XmlSerializer(typeof(TestClass).Deserialize(new FileStream("filename", FileMode.Open));
Çözüm
using System.IO;
using System.Xml;
using System.Xml.Serialization;
...
new XmlSerializer(typeof(TestClass)).Deserialize(XmlReader.Create (new FileStream("filename", FileMode.Open)));
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin