| 屬性 | 值 |
|---|---|
| 規則識別碼 | CA3007 |
| 職稱 | 檢閱程式碼是否有開放式重新導向弱點 |
| 類別 | 安全性 |
| 修正是造成中斷還是不中斷 | 不中斷 |
| 在 .NET 10 中預設啟用 | 否 |
| 適用語言 | C# 與 Visual Basic |
原因
HTTP 要求輸入可能不受信任,並可能導致 HTTP 回應的重定向。
根據預設,此規則會分析整個程式碼,但它是可配置的。
規則描述
使用不受信任的輸入時,請留意開放式重新導向弱點。 攻擊者可以利用開放式重新導向弱點,使用網站來提供合法 URL 的外觀,但將無防備的訪客重新導向至網路釣魚或其他惡意網頁。
此規則會嘗試偵測來自到達 HTTP 重定向 URL 的 HTTP 請求的輸入。
注意
此規則無法追蹤元件之間的數據。 例如,如果某個元件讀取 HTTP 要求輸入,然後將它傳遞給另一個以 HTTP 重新導向回應的元件,則此規則不會產生警告。
注意
此規則在方法呼叫之間分析數據流的深度有可設定的限制。 如需如何在EditorConfig檔案中設定限制,請參閱 分析器 組態。
如何修正違規
修正開放重新導向漏洞的一些方法包括:
- 不允許使用者起始重新導向。
- 不允許使用者在重新導向案例中指定 URL 的任何部分。
- 限制重新導向至預先定義的 URL「允許清單」。
- 驗證重新導向URL。
- 如果適用,請考慮在使用者從您的網站重新導向時使用免責聲明頁面。
隱藏警告的時機
如果您確定您已驗證輸入以限制在預期的 URL 范圍內,可以忽略此警告。
隱藏警告
如果您只想要隱藏單一違規,請將預處理器指示詞新增至原始程式檔以停用,然後重新啟用規則。
#pragma warning disable CA3007
// The code that's violating the rule is on this line.
#pragma warning restore CA3007
若要停用檔案、資料夾或專案的規則,請在組態檔中將其嚴重性設為 none。
[*.{cs,vb}]
dotnet_diagnostic.CA3007.severity = none
如需詳細資訊,請參閱 如何隱藏程式代碼分析警告。
設定程式代碼以分析
使用下列選項來設定程式代碼基底要執行此規則的部分。
您可以只針對此規則、套用至的所有規則,或套用至此類別的所有規則(安全性)設定這些選項。 如需詳細資訊,請參閱 程式代碼品質規則組態選項。
排除特定符號
您可以藉由設定 [excluded_symbol_names] 選項,從分析中排除特定符號,例如類型和方法。 例如,若要指定規則不應該在名為 MyType的任何程式代碼上執行,請將下列機碼/值組新增至 專案中的 .editorconfig 檔案:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
注意
以適用規則的標識碼取代 XXXX 的 CAXXXX 部分。
選項值中允許的符號名稱格式(以 |分隔):
- 只含符號名稱(包括名稱的所有符號,不論其所屬類型或命名空間)。
- 符號的 文件識別碼格式中的完整名稱。 每個符號名稱都需要符號種類前置詞,例如
M:方法、T:類型和N:命名空間。 -
.ctor用於建構函式和.cctor靜態建構函式。
範例:
| 選項值 | 摘要 |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
符合所有名為 MyType的符號。 |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
比對名為 MyType1 或 MyType2的所有符號。 |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
比對特定方法 MyMethod 與指定的完整簽章。 |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
比對特定方法 MyMethod1 和 MyMethod2,及其各自的完整簽章。 |
排除特定類型及其衍生類型
您可以藉由設定 [excluded_type_names_with_derived_types] 選項,從分析中排除特定類型及其衍生類型。 例如,若要指定規則不應該在具名 MyType 類型及其衍生型別內的任何方法上執行,請將下列機碼/值組新增至 專案中的 .editorconfig 檔案:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
注意
以適用規則的標識碼取代 XXXX 的 CAXXXX 部分。
選項值中允許的符號名稱格式(以 |分隔):
- 僅輸入類型名稱(包含該名稱的所有類型,不論包含類型或命名空間為何)。
- 符號的 文件識別碼格式中的完整限定名稱,具有可選的
T:前置字首。
範例:
| 選項值 | 摘要 |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
比對所有具名 MyType 的類型及其所有衍生型別。 |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
比對所有名為 MyType1 或 MyType2 的型別,以及其所有衍生型別。 |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
比對指定完整名稱的特定類型 MyType 及其所有衍生類型。 |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
比對特定類型 MyType1 和 MyType2 及其所有衍生類型的完整名稱。 |
虛擬程式代碼範例
違規
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string input = Request.Form["url"];
this.Response.Redirect(input);
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, eventArgs As EventArgs)
Dim input As String = Me.Request.Form("url")
Me.Response.Redirect(input)
End Sub
End Class
解決方案
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string input = Request.Form["in"];
if (String.IsNullOrWhiteSpace(input))
{
this.Response.Redirect("https://example.org/login.html");
}
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, eventArgs As EventArgs)
Dim input As String = Me.Request.Form("in")
If String.IsNullOrWhiteSpace(input) Then
Me.Response.Redirect("https://example.org/login.html")
End If
End Sub
End Class
