CA3077: Processamento não seguro em design de API, documento XML e leitor de texto XML

  • Artigo
Propriedade valor
ID da regra CA3077
Cargo Processamento inseguro em design de API, documento XML e leitor de texto XML
Categoria Segurança
A correção está quebrando ou não quebrando Sem quebra
Habilitado por padrão no .NET 8 Não

Causa

Ao projetar uma API derivada de XMLDocument e XMLTextReader, esteja atento ao DtdProcessing. O uso de instâncias inseguras de DTDProcessing ao referenciar ou resolver fontes de entidades externas ou definir valores inseguros no XML pode levar à divulgação de informações.

Descrição da regra

Uma definição de tipo de documento (DTD) é uma das duas maneiras pelas quais um analisador XML pode determinar a validade de um documento, conforme definido pelo World Wide Web Consortium (W3C) Extensible Markup Language (XML) 1.0. Esta regra procura propriedades e instâncias em que dados não confiáveis são aceitos para avisar os desenvolvedores sobre possíveis ameaças de divulgação de informações, que podem levar a ataques de negação de serviço (DoS ). Esta regra é acionada quando:

  • XmlDocument ou XmlTextReader classes usam valores de resolvedor padrão para processamento DTD.

  • Nenhum construtor é definido para as classes derivadas XmlDocument ou XmlTextReader ou nenhum valor seguro é usado para XmlResolver.

Como corrigir violações

  • Capture e processe todas as exceções XmlTextReader corretamente para evitar a divulgação de informações de caminho.

  • Use XmlSecureResolverem vez de XmlResolver para restringir os recursos que o XmlTextReader pode acessar.

Quando suprimir avisos

A menos que você tenha certeza de que a entrada é conhecida por ser de uma fonte confiável, não suprima uma regra deste aviso.

Suprimir um aviso

Se você quiser apenas suprimir uma única violação, adicione diretivas de pré-processador ao seu arquivo de origem para desativar e, em seguida, reativar a regra.

#pragma warning disable CA3077
// The code that's violating the rule is on this line.
#pragma warning restore CA3077

Para desabilitar a regra de um arquivo, pasta ou projeto, defina sua gravidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA3077.severity = none

Para obter mais informações, consulte Como suprimir avisos de análise de código.

Exemplos de pseudocódigo

Violação

using System;
using System.Xml;

namespace TestNamespace
{
    class TestClass : XmlDocument
    {
        public TestClass () {} // warn
    }

    class TestClass2 : XmlTextReader
    {
        public TestClass2() // warn
        {
        }
    }
}

Solução

using System;
using System.Xml;

namespace TestNamespace
{
    class TestClass : XmlDocument
    {
        public TestClass ()
        {
            XmlResolver = null;
        }
    }

    class TestClass2 : XmlTextReader
    {
        public TestClass2()
        {
               XmlResolver = null;
        }
    }
}