CA5366: DataSet Okuma XML'i için XmlReader kullanma
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA5366 |
| Başlık | DataSet Read XML için XmlReader Kullan |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 9'da varsayılan olarak etkin | Hayır |
Neden
Belge Türü Tanımı (DTD), xml belgesinin yapısını ve yasal öğelerini ve özniteliklerini tanımlar. Dış kaynaktan bir DTD'ye başvurmak olası Hizmet Reddi (DoS) saldırılarına neden olabilir. Okuyucuların çoğu DTD işlemeyi devre dışı bırakamaz ve dışında dış başvuruların yüklenmesini System.Xml.XmlReaderkısıtlayamaz. Xml'yi aşağıdaki yöntemlerden biriyle yüklemek için bu diğer okuyucuların kullanılması bu kuralı tetikler:
Kural açıklaması
Güvenilmeyen verilerle XML okumak için kullanmak System.Data.DataSet , güvenli çözümleyici ile veya DTD işleme devre dışı bırakılarak kısıtlanması XmlReader gereken tehlikeli dış başvurular yükleyebilir.
İhlalleri düzeltme
XML okumak için veya türetilmiş sınıflarını kullanın XmlReader .
Uyarıların ne zaman bastırılması gerekiyor?
Güvenilir bir veri kaynağıyla ilgilenirken bu kuraldan gelen bir uyarıyı bastırır.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA5366
// The code that's violating the rule is on this line.
#pragma warning restore CA5366
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini none olarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA5366.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
Ihlal
using System.Data;
using System.IO;
public class ExampleClass
{
public void ExampleMethod()
{
new DataSet().ReadXml(new FileStream("xmlFilename", FileMode.Open));
}
}
Çözüm
using System.Data;
using System.IO;
using System.Xml;
public class ExampleClass
{
public void ExampleMethod()
{
new DataSet().ReadXml(new XmlTextReader(new FileStream("xmlFilename", FileMode.Open)));
}
}
