Aracılığıyla paylaş


CA3061: URL'ye göre şema eklemeyin

Özellik Değer
Kural Kimliği CA3061
Başlık URL ile şema eklemeyin
Kategori Güvenlik
Hataya neden olan veya bozulmayan düzeltme Hataya neden olmayan
.NET 8'de varsayılan olarak etkin Hayır

Neden

XmlSchemaCollection.Add(String, String) aşırı yüklemesi, dış XML şemasını URI biçiminde belirtmek için kullanıyorXmlUrlResolver. URI Dizesi bozuksa, xml bombalarının ve kötü amaçlı dış varlıkların eklenmesini sağlayan kötü amaçlı bir XML şemasının ayrıştırılmasına yol açabilir. Bu, kötü amaçlı bir saldırganın hizmet reddi, bilgilerin açığa çıkması veya sunucu tarafı istek sahteciliği saldırısı gerçekleştirmesine olanak sağlayabilir.

Kural açıklaması

Tehlikeli dış başvurulara neden olabileceğinden yöntemin Add güvenli olmayan aşırı yüklemesini kullanmayın.

İhlalleri düzeltme

  • kullanmayın XmlSchemaCollection.Add(String, String).

Uyarıların ne zaman bastırılması gerekiyor?

XML'nizin tehlikeli dış başvuruları çözümlemediğinden eminseniz bu kuralı gizleyin.

Uyarıyı gizleme

Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.

#pragma warning disable CA3061
// The code that's violating the rule is on this line.
#pragma warning restore CA3061

Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini noneolarak ayarlayın.

[*.{cs,vb}]
dotnet_diagnostic.CA3061.severity = none

Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.

Sahte kod örnekleri

Ihlal

Aşağıdaki sahte kod örneği, bu kural tarafından algılanan deseni gösterir. İkinci parametrenin türü olur string.

using System;
using System.Xml.Schema;
...
XmlSchemaCollection xsc = new XmlSchemaCollection();
xsc.Add("urn: bookstore - schema", "books.xsd");

Çözüm

using System;
using System.IO;
using System.Xml;
using System.Xml.Schema;
...
XmlSchemaCollection xsc = new XmlSchemaCollection();
xsc.Add("urn: bookstore - schema", new XmlTextReader(new FileStream(""xmlFilename"", FileMode.Open)));