CA5365: HTTP Üst Bilgi Denetimini Devre Dışı Bırakma
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA5365 |
| Başlık | HTTP Üst Bilgi Denetimini Devre Dışı Bırakma |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 9'da varsayılan olarak etkin | Hayır |
Neden
EnableHeaderChecking seçeneğini false olarak ayarlayın.
Kural açıklaması
HTTP üst bilgi denetimi, \r yanıt üst bilgilerinde bulunan satır başı ve yeni satır karakterlerinin ve \nkodlamasını etkinleştirir. Bu kodlama, üst bilgide yer alan güvenilmeyen verileri yankılayan bir uygulamadan yararlanan ekleme saldırılarını önlemeye yardımcı olabilir.
İhlalleri düzeltme
EnableHeaderChecking seçeneğini true olarak ayarlayın. Varsayılan değer olduğundan trueatamayı false kaldırın.
Uyarıların ne zaman bastırılması gerekiyor?
HTTP üst bilgi devamlılıkları, birden çok satıra yayılan üst bilgileri kullanır ve bunlarda yeni satırlar gerektirir. Üst bilgi devamlılıklarını kullanmanız gerekiyorsa özelliğini olarak falseayarlamanız EnableHeaderChecking gerekir. Üst bilgileri denetlemenin bir performans etkisi vardır. Zaten doğru denetimleri yaptığınızdan eminseniz, bu özelliği kapatmak uygulamanızın performansını artırabilir. Bu özelliği devre dışı bırakmadan önce, bu alanda zaten doğru önlemleri almış olduğunuzdan emin olun.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA5365
// The code that's violating the rule is on this line.
#pragma warning restore CA5365
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini none olarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA5365.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
using System;
using System.Web.Configuration;
class TestClass
{
public void TestMethod()
{
HttpRuntimeSection httpRuntimeSection = new HttpRuntimeSection();
httpRuntimeSection.EnableHeaderChecking = false;
}
}
Çözüm
using System;
using System.Web.Configuration;
class TestClass
{
public void TestMethod()
{
HttpRuntimeSection httpRuntimeSection = new HttpRuntimeSection();
httpRuntimeSection.EnableHeaderChecking = true;
}
}
