CA5391: ASP.NET Core MVC denetleyicilerinde antiforgery belirteçleri kullanma
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA5391 |
| Başlık | ASP.NET Core MVC denetleyicilerinde sahtecilik önleme belirteçleri kullanın |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 8'de varsayılan olarak etkin | Hayır |
Neden
İşlemlerin değiştirilmesine neden olan eylemlerin bir sahte belirteç özniteliği yoktur. Alternatif olarak, beklenen sahteciliğe karşı belirteç işlevlerini çağırmadan genel bir sahteciliğe karşı koruma belirteci filtresi de kullanabilirsiniz.
Kural açıklaması
POSTBir , PUT, veya PATCHDELETE isteğinin, bir sahteciliğe karşı koruma belirtecini doğrulamadan işlenmesi siteler arası istek sahteciliği saldırılarına karşı savunmasız olabilir. Siteler arası istek sahteciliği saldırısı, kimliği doğrulanmış bir kullanıcıdan ASP.NET Core MVC denetleyicinize kötü amaçlı istekler gönderebilir.
İhlalleri düzeltme
- Değiştirme eylemini geçerli bir kötü amaçlı yazılımdan koruma belirteci özniteliğiyle işaretleyin:
- Microsoft.AspNetCore.Mvc.ValidateAntiForgeryTokenAttribute.
- Adı gibi
%Validate%Anti_orgery%Attributeolan öznitelik.
- ile Microsoft.AspNetCore.Mvc.Filters.FilterCollection.Addgenel filtreye geçerli sahte belirteç özniteliğini ekleyin.
- Arabirimini uygulayan Microsoft.AspNetCore.Antiforgery.IAntiforgery herhangi bir sınıfı çağıran
Validateözel veya Mvc tarafından sağlanan herhangi bir kötü amaçlı yazılımdan koruma filtresi sınıfı ekleyin.
Uyarıların ne zaman bastırılması gerekiyor?
CSRF güvenlik açıklarını azaltmak için sahte belirteç özniteliklerini kullanma dışındaki çözümler benimsenirse bu kuralın gizlenmek güvenlidir. Daha fazla bilgi için, bkz. ASP.NET Core'da Siteler Arası İstek Sahteciliği (XSRF/CSRF) saldırılarını önleme.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA5391
// The code that's violating the rule is on this line.
#pragma warning restore CA5391
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini noneolarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA5391.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Çözümlemek için kod yapılandırma
Kuralın yalnızca kod tabanınızdaki türetilmiş sınıfları Microsoft.AspNetCore.Mvc.Controller için geçerli olup olmadığını yapılandırabilirsiniz. Örneğin, kuralın türetilmiş türleri ControllerBaseiçindeki herhangi bir kodda çalışmaması gerektiğini belirtmek için, projenizdeki bir .editorconfig dosyasına aşağıdaki anahtar-değer çiftini ekleyin:
dotnet_code_quality.CA5391.exclude_aspnet_core_mvc_controllerbase = true
Sahte kod örnekleri
Sahte belirteç özniteliği ihlali olmadan
using Microsoft.AspNetCore.Mvc;
class ExampleController : Controller
{
[HttpDelete]
public IActionResult ExampleAction (string actionName)
{
return null;
}
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult AnotherAction (string actionName)
{
return null;
}
}
Geçerli genel sahteciliğe karşı koruma filtresi olmadan
using System.Threading.Tasks;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Filters;
class ExampleController : Controller
{
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult AnotherAction (string actionName)
{
return null;
}
[HttpDelete]
public IActionResult ExampleAction (string actionName)
{
return null;
}
}
class FilterClass : IAsyncAuthorizationFilter
{
public Task OnAuthorizationAsync (AuthorizationFilterContext context)
{
return null;
}
}
class BlahClass
{
public static void BlahMethod ()
{
FilterCollection filterCollection = new FilterCollection ();
filterCollection.Add(typeof(FilterClass));
}
}
Sahteciliğe karşı koruma belirteci öznitelik çözümüyle işaretlendi
using Microsoft.AspNetCore.Mvc;
class ExampleController : Controller
{
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult ExampleAction ()
{
return null;
}
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult AnotherAction ()
{
return null;
}
}
Geçerli bir genel sahteciliğe karşı koruma filtresi kullanma
using System.Threading.Tasks;
using Microsoft.AspNetCore.Antiforgery;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Filters;
class ExampleController : Controller
{
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult AnotherAction()
{
return null;
}
[HttpDelete]
public IActionResult ExampleAction()
{
return null;
}
}
class FilterClass : IAsyncAuthorizationFilter
{
private readonly IAntiforgery antiforgery;
public FilterClass(IAntiforgery antiforgery)
{
this.antiforgery = antiforgery;
}
public Task OnAuthorizationAsync(AuthorizationFilterContext context)
{
return antiforgery.ValidateRequestAsync(context.HttpContext);
}
}
class BlahClass
{
public static void BlahMethod()
{
FilterCollection filterCollection = new FilterCollection();
filterCollection.Add(typeof(FilterClass));
}
}
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin