CA5363: Nezakazujte ověření požadavku
| Vlastnost | Hodnota |
|---|---|
| ID pravidla | CA5363 |
| Název | Nezakazovat ověřování požadavků |
| Kategorie | Zabezpečení |
| Oprava způsobující chybu nebo chybu způsobující chybu | Nenarušující |
| Povoleno ve výchozím nastavení v .NET 8 | No |
Příčina
Atribut ValidateInput je nastaven na false třídu nebo metodu.
Popis pravidla
Ověření požadavku je funkce v ASP.NET, která zkoumá požadavky HTTP a určuje, jestli obsahují potenciálně nebezpečný obsah, který může vést k útokům prostřednictvím injektáže, včetně skriptování mezi weby.
Jak opravit porušení
ValidateInput Nastavte atribut true na nebo ho úplně odstraňte. Případně můžete AllowHTMLAttribute povolit HTML v určitých částech vstupu.
Kdy potlačit upozornění
Toto porušení můžete potlačit, pokud veškerá datová část příchozího požadavku HTTP pochází z důvěryhodné entity a nelze s ni před přenosem manipulovat nežádoucí osobou nebo během přenosu.
Potlačení upozornění
Pokud chcete pouze potlačit jedno porušení, přidejte do zdrojového souboru direktivy preprocesoru, abyste pravidlo zakázali a znovu povolili.
#pragma warning disable CA5363
// The code that's violating the rule is on this line.
#pragma warning restore CA5363
Pokud chcete pravidlo pro soubor, složku nebo projekt zakázat, nastavte jeho závažnost v none konfiguračním souboru.
[*.{cs,vb}]
dotnet_diagnostic.CA5363.severity = none
Další informace naleznete v tématu Jak potlačit upozornění analýzy kódu.
Příklady pseudokódu
Porušení
Následující ukázka pseudokódu znázorňuje vzor zjištěný tímto pravidlem. Tím se zakáže ověření vstupu.
using System.Web.Mvc;
class TestControllerClass
{
[ValidateInput(false)]
public void TestActionMethod()
{
}
}
Řešení
using System.Web.Mvc;
class TestControllerClass
{
[ValidateInput(true)]
public void TestActionMethod()
{
}
}
