CA5372: XPathDocument için XmlReader kullanma
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA5372 |
| Başlık | XPathDocument için XmlReader kullanma |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 9'da varsayılan olarak etkin | Hayır |
Neden
Bir nesne olmadan XmlReader örneği oluşturulmuş sınıfın XPathDocument kullanılması hizmet reddine, bilgilerin açığa çıkmasına ve sunucu tarafı istek sahteciliği saldırılarına yol açabilir. Bu saldırılar, XML bombalarının ve kötü amaçlı dış varlıkların XML'ye eklenmesini sağlayan güvenilmeyen DTD ve XML şeması işleme tarafından etkinleştirilir. Yalnızca ile DTD'yi XmlReader devre dışı bırakmak mümkündür. ve özelliği varsayılan olarak XmlReader 4.0 sürümünden ProcessInlineSchema ProhibitDtd başlayarak .NET Framework'te false olarak ayarlanmış satır içi XML şeması işleme. , TextReaderve XmlSerializationReader gibi Streamdiğer seçenekler DTD işlemeyi devre dışı bırakamaz.
Kural açıklaması
Güvenilmeyen verilerden XML işleme, güvenli bir XmlReader çözümleyici kullanılarak veya DTD işleme devre dışı bırakılarak kısıtlanabilen tehlikeli dış başvurular yükleyebilir. Bu kural sınıfını XPathDocument kullanan kodu algılar ve oluşturucu parametresi olarak almaz XmlReader .
İhlalleri düzeltme
Oluşturucuları kullanın XPathDocument(XmlReader, *) .
Uyarıların ne zaman bastırılması gerekiyor?
Nesne, güvenilir bir kaynaktan gelen bir XML dosyasını işlemek için kullanılırsa ve bu nedenle üzerinde oynanamazsa XPathDocument bu uyarıyı gizleyebilirsiniz.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA5372
// The code that's violating the rule is on this line.
#pragma warning restore CA5372
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini none olarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA5372.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
Ihlal
Aşağıdaki sahte kod örneği, bu kural tarafından algılanan deseni gösterir.
İlk parametresinin XPathDocument türü değildir XmlReader.
using System.IO;
using System.Xml.XPath;
...
var obj = new XPathDocument(stream);
Çözüm
using System.Xml;
using System.Xml.XPath;
...
public void TestMethod(XmlReader reader)
{
var obj = new XPathDocument(reader);
}
