CA3002:查看 XSS 漏洞的代码
| 属性 | 值 |
|---|---|
| 规则 ID | CA3002 |
| 标题 | 查看 XSS 漏洞的代码 |
| 类别 | 安全性 |
| 修复是中断修复还是非中断修复 | 非中断 |
| 在 .NET 8 中默认启用 | 否 |
原因
可能有不受信任的 HTTP 请求输入访问原始 HTML 输出。
默认情况下,此规则会分析整个代码库,但这是可配置的。
规则说明
在处理来自 Web 请求的不受信任的输入时,请注意防范跨站脚本 (XSS) 攻击。 XSS 攻击会将不受信任的输入注入原始 HTML 输出,使攻击者可以执行恶意脚本或恶意修改网页中的内容。 一个典型的技术是将包含恶意代码的 <script> 元素放入输入中。 有关详细信息,请参阅 OWASP 的 XSS。
此规则试图查找 HTTP 请求中要访问原始 HTML 输出的输入。
注意
此规则无法跨程序集跟踪数据。 例如,如果一个程序集读取 HTTP 请求输入,然后将其传递给另一个会输出原始 HTML 的程序集,则此规则不会产生警告。
注意
对于此规则跨方法调用分析数据流的深入程度存在限制,此限制是可配置的。 若要了解如何在 EditorConfig 文件中配置此限制,请参阅分析器配置。
如何解决冲突
- 不要输出原始 HTML,而是使用方法或属性先对输入执行 HTML 编码。
- 先对不受信任的数据执行 HTML 编码,然后再输出原始 HTML。
何时禁止显示警告
在以下情况下,禁止显示此规则的警告是安全的:
- 你确定输入已针对不包含 HTML 的一组已知安全的字符经过验证。
- 你确定已通过此规则检测不到的方式对数据执行 HTML 编码。
注意
对于为输入执行 HTML 编码的某些方法或属性,此规则可能会报告误报。
抑制警告
如果只想抑制单个冲突,请将预处理器指令添加到源文件以禁用该规则,然后重新启用该规则。
#pragma warning disable CA3002
// The code that's violating the rule is on this line.
#pragma warning restore CA3002
若要对文件、文件夹或项目禁用该规则,请在配置文件中将其严重性设置为 none。
[*.{cs,vb}]
dotnet_diagnostic.CA3002.severity = none
有关详细信息,请参阅如何禁止显示代码分析警告。
配置代码以进行分析
使用下面的选项来配置代码库的哪些部分要运行此规则。
可以仅为此规则、为适用的所有规则或为适用的此类别(安全性)中的所有规则配置这些选项。 有关详细信息,请参阅代码质量规则配置选项。
排除特定符号
可以从分析中排除特定符号,如类型和方法。 例如,若要指定规则不应针对名为 MyType 的类型中的任何代码运行,请将以下键值对添加到项目中的 .editorconfig 文件:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
选项值中允许的符号名称格式(用 | 分隔):
- 仅符号名称(包括具有相应名称的所有符号,不考虑包含的类型或命名空间)。
- 完全限定的名称,使用符号的文档 ID 格式。 每个符号名称都需要带有一个符号类型前缀,例如表示方法的
M:、表示类型的T:,以及表示命名空间的N:。 .ctor表示构造函数,.cctor表示静态构造函数。
示例:
| 选项值 | 总结 |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
匹配名为 MyType 的所有符号。 |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
匹配名为 MyType1 或 MyType2 的所有符号。 |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
匹配带有指定的完全限定签名的特定方法 MyMethod。 |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
匹配带有各自的完全限定签名的特定方法 MyMethod1 和 MyMethod2。 |
排除特定类型及其派生类型
可以从分析中排除特定类型及其派生类型。 例如,若要指定规则不应针对名为 MyType 的类型及其派生类型中的任何代码运行,请将以下键值对添加到项目中的 .editorconfig 文件:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
选项值中允许的符号名称格式(用 | 分隔):
- 仅类型名称(包括具有相应名称的所有类型,不考虑包含的类型或命名空间)。
- 完全限定的名称,使用符号的文档 ID 格式,前缀为
T:(可选)。
示例:
| 选项值 | 总结 |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
匹配名为 MyType 的所有类型及其所有派生类型。 |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
匹配名为 MyType1 或 MyType2 的所有类型及其所有派生类型。 |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
匹配带有给定的完全限定名称的特定类型 MyType 及其所有派生类型。 |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
匹配带有各自的完全限定名称的特定类型 MyType1 和 MyType2 及其所有派生类型。 |
伪代码示例
冲突
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string input = Request.Form["in"];
Response.Write("<HTML>" + input + "</HTML>");
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, e As EventArgs)
Dim input As String = Me.Request.Form("in")
Me.Response.Write("<HTML>" + input + "</HTML>")
End Sub
End Class
解决方案
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string input = Request.Form["in"];
// Example usage of System.Web.HttpServerUtility.HtmlEncode().
Response.Write("<HTML>" + Server.HtmlEncode(input) + "</HTML>");
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, e As EventArgs)
Dim input As String = Me.Request.Form("in")
' Example usage of System.Web.HttpServerUtility.HtmlEncode().
Me.Response.Write("<HTML>" + Me.Server.HtmlEncode(input) + "</HTML>")
End Sub
End Class
