CA5391:在 ASP.NET Core MVC 控制器中使用反forgery 令牌
| 屬性 | 值 |
|---|---|
| 規則識別碼 | CA5391 |
| 標題 | 請在 ASP.NET Core MVC 控制器中使用防偽權杖 |
| 類別 | 安全性 |
| 修正程式是中斷或非中斷 | 不中斷 |
| 預設在 .NET 8 中啟用 | No |
原因
導致修改作業的動作沒有反forgery Token 屬性。 或者,使用全域反偽造令牌篩選,而不呼叫預期的反偽造令牌函式。
檔案描述
處理 POST、PUT、PATCH 或 DELETE 要求而不驗證防偽權杖可能會容易受到跨網站偽造要求攻擊。 跨網站要求偽造攻擊可以將來自已驗證用戶的惡意要求傳送至您的 ASP.NET Core MVC 控制器。
如何修正違規
- 使用有效的反forgery 令牌屬性標記修改動作:
- Microsoft.AspNetCore.Mvc.ValidateAntiForgeryTokenAttribute.
- 名稱類似
%Validate%Anti_orgery%Attribute的屬性。
- 使用將有效的偽造令牌屬性新增至全域篩選 Microsoft.AspNetCore.Mvc.Filters.FilterCollection.Add。
- 新增任何自定義或Mvc提供的反forgery篩選類別,以呼叫
Validate任何實作介面的 Microsoft.AspNetCore.Antiforgery.IAntiforgery 類別。
隱藏警告的時機
如果採用使用反forgery 令牌屬性以外的解決方案來降低 CSRF 弱點,則隱藏此規則是安全的。 如需詳細資訊,請參閱防止 ASP.NET Core 中的跨網站要求偽造 (XSRF/CSRF) 攻擊。
隱藏警告
如果您只想要隱藏單一違規,請將預處理器指示詞新增至原始程式檔以停用,然後重新啟用規則。
#pragma warning disable CA5391
// The code that's violating the rule is on this line.
#pragma warning restore CA5391
若要停用檔案、資料夾或項目的規則,請在組態檔中將其嚴重性設定為 。none
[*.{cs,vb}]
dotnet_diagnostic.CA5391.severity = none
如需詳細資訊,請參閱 如何隱藏程式代碼分析警告。
設定程式代碼以分析
您可以設定規則是否只適用於程式代碼基底中的 衍生類別 Microsoft.AspNetCore.Mvc.Controller 。 例如,若要指定規則不應該在 衍生類型 ControllerBase內的任何程式代碼上執行,請將下列機碼/值組新增至 專案中的 .editorconfig 檔案:
dotnet_code_quality.CA5391.exclude_aspnet_core_mvc_controllerbase = true
虛擬程式代碼範例
沒有反偽造令牌屬性違規
using Microsoft.AspNetCore.Mvc;
class ExampleController : Controller
{
[HttpDelete]
public IActionResult ExampleAction (string actionName)
{
return null;
}
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult AnotherAction (string actionName)
{
return null;
}
}
沒有有效的全域防偽篩選
using System.Threading.Tasks;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Filters;
class ExampleController : Controller
{
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult AnotherAction (string actionName)
{
return null;
}
[HttpDelete]
public IActionResult ExampleAction (string actionName)
{
return null;
}
}
class FilterClass : IAsyncAuthorizationFilter
{
public Task OnAuthorizationAsync (AuthorizationFilterContext context)
{
return null;
}
}
class BlahClass
{
public static void BlahMethod ()
{
FilterCollection filterCollection = new FilterCollection ();
filterCollection.Add(typeof(FilterClass));
}
}
標示為防偽造令牌屬性解決方案
using Microsoft.AspNetCore.Mvc;
class ExampleController : Controller
{
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult ExampleAction ()
{
return null;
}
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult AnotherAction ()
{
return null;
}
}
使用有效的全域防偽篩選
using System.Threading.Tasks;
using Microsoft.AspNetCore.Antiforgery;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Filters;
class ExampleController : Controller
{
[ValidateAntiForgeryToken]
[HttpDelete]
public IActionResult AnotherAction()
{
return null;
}
[HttpDelete]
public IActionResult ExampleAction()
{
return null;
}
}
class FilterClass : IAsyncAuthorizationFilter
{
private readonly IAntiforgery antiforgery;
public FilterClass(IAntiforgery antiforgery)
{
this.antiforgery = antiforgery;
}
public Task OnAuthorizationAsync(AuthorizationFilterContext context)
{
return antiforgery.ValidateRequestAsync(context.HttpContext);
}
}
class BlahClass
{
public static void BlahMethod()
{
FilterCollection filterCollection = new FilterCollection();
filterCollection.Add(typeof(FilterClass));
}
}
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應