CA3061: URL'ye göre şema eklemeyin
Özellik | Değer |
---|---|
Kural Kimliği | CA3061 |
Başlık | URL ile şema eklemeyin |
Kategori | Güvenlik |
Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
.NET 8'de varsayılan olarak etkin | Hayır |
Neden
XmlSchemaCollection.Add(String, String)
aşırı yüklemesi, dış XML şemasını URI biçiminde belirtmek için kullanıyorXmlUrlResolver
. URI Dizesi bozuksa, xml bombalarının ve kötü amaçlı dış varlıkların eklenmesini sağlayan kötü amaçlı bir XML şemasının ayrıştırılmasına yol açabilir. Bu, kötü amaçlı bir saldırganın hizmet reddi, bilgilerin açığa çıkması veya sunucu tarafı istek sahteciliği saldırısı gerçekleştirmesine olanak sağlayabilir.
Kural açıklaması
Tehlikeli dış başvurulara neden olabileceğinden yöntemin Add
güvenli olmayan aşırı yüklemesini kullanmayın.
İhlalleri düzeltme
- kullanmayın
XmlSchemaCollection.Add(String, String)
.
Uyarıların ne zaman bastırılması gerekiyor?
XML'nizin tehlikeli dış başvuruları çözümlemediğinden eminseniz bu kuralı gizleyin.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA3061
// The code that's violating the rule is on this line.
#pragma warning restore CA3061
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini none
olarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA3061.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
Ihlal
Aşağıdaki sahte kod örneği, bu kural tarafından algılanan deseni gösterir.
İkinci parametrenin türü olur string
.
using System;
using System.Xml.Schema;
...
XmlSchemaCollection xsc = new XmlSchemaCollection();
xsc.Add("urn: bookstore - schema", "books.xsd");
Çözüm
using System;
using System.IO;
using System.Xml;
using System.Xml.Schema;
...
XmlSchemaCollection xsc = new XmlSchemaCollection();
xsc.Add("urn: bookstore - schema", new XmlTextReader(new FileStream(""xmlFilename"", FileMode.Open)));