CA3061: Fügen Sie kein Schema nach URL hinzu.
| Eigenschaft | Wert |
|---|---|
| Regel-ID | CA3061 |
| Titel | Fügen Sie kein Schema nach URL hinzu. |
| Kategorie | Security |
| Fix führt oder führt nicht zur Unterbrechung | Nicht unterbrechend |
| Standardmäßig in .NET 9 aktiviert | No |
Ursache
Die Überladung von XmlSchemaCollection.Add(String, String) verwendet XmlUrlResolver für die Spezifizierung eines externen XML-Schemas in Form eines URI. Wenn die URI-Zeichenfolge beschädigt ist, ist das Parsen eines bösartigen XML-Schemas möglich, in dem XML-Bomben und schädliche externe Entitäten enthalten sein können. Dadurch kann ein böswilliger Angreifer einen DoS-Angriff (Denial-of-Service) oder einen SSRF-Angriff (Server-Side Request Forgery) durchführen oder Informationen offenlegen.
Regelbeschreibung
Verwenden Sie keine unsichere Überladung der Add-Methode, da diese gefährliche externe Verweise verursachen kann.
Behandeln von Verstößen
- Verwenden Sie nicht
XmlSchemaCollection.Add(String, String).
Wann sollten Warnungen unterdrückt werden?
Sie können diese Regel unterdrücken, wenn Sie sich sicher sind, dass der XML-Code keine gefährlichen externen Verweise auflöst.
Unterdrücken einer Warnung
Um nur eine einzelne Verletzung zu unterdrücken, fügen Sie der Quelldatei Präprozessoranweisungen hinzu, um die Regel zu deaktivieren und dann wieder zu aktivieren.
#pragma warning disable CA3061
// The code that's violating the rule is on this line.
#pragma warning restore CA3061
Um die Regel für eine Datei, einen Ordner oder ein Projekt zu deaktivieren, legen Sie den Schweregrad in der Konfigurationsdatei auf none fest.
[*.{cs,vb}]
dotnet_diagnostic.CA3061.severity = none
Weitere Informationen finden Sie unter Vorgehensweise: Unterdrücken von Codeanalyse-Warnungen.
Pseudocodebeispiele
Verletzung
Das folgende Pseudocodebeispiel veranschaulicht das von dieser Regel erkannte Muster.
Der Typ des zweiten Parameters ist string.
using System;
using System.Xml.Schema;
...
XmlSchemaCollection xsc = new XmlSchemaCollection();
xsc.Add("urn: bookstore - schema", "books.xsd");
Lösung
using System;
using System.IO;
using System.Xml;
using System.Xml.Schema;
...
XmlSchemaCollection xsc = new XmlSchemaCollection();
xsc.Add("urn: bookstore - schema", new XmlTextReader(new FileStream(""xmlFilename"", FileMode.Open)));
