CA3077: API Tasarımı, XML Belgesi ve XML Metin Okuyucusunda Güvensiz İşleme

  • Makale
Özellik Değer
Kural Kimliği CA3077
Başlık API Tasarımı, XML Belgesi ve XML Metin Okuyucusunda Güvensiz İşleme
Kategori Güvenlik
Hataya neden olan veya bozulmayan düzeltme Hataya neden olmayan
.NET 9'da varsayılan olarak etkin Hayır

Neden

XMLDocument ve XMLTextReader'dan türetilen bir API tasarlarken dikkatli olun DtdProcessing. Dış varlık kaynaklarına başvururken veya çözümlenirken güvenli olmayan DTDProcessing örneklerinin kullanılması veya XML'de güvenli olmayan değerler ayarlanması bilgilerin açığa çıkmasına neden olabilir.

Kural açıklaması

Belge Türü Tanımı (DTD), XML ayrıştırıcısının World Wide Web Consortium (W3C) Genişletilebilir Biçimlendirme Dili (XML) 1.0 tarafından tanımlandığı şekilde belgenin geçerliliğini belirlemesinin iki yoludur. Bu kural, geliştiricileri hizmet reddi (DoS) saldırılarına yol açabilecek olası Bilgilerin Açığa Çıkması tehditleri konusunda uyarmak için güvenilmeyen verilerin kabul edildiği özellikleri ve örnekleri arar. Bu kural şu durumlarda tetikler:

  • XmlDocument veya XmlTextReader sınıflar, DTD işlemesi için varsayılan çözümleyici değerlerini kullanır.

  • XmlDocument veya XmlTextReader türetilmiş sınıfları için hiçbir oluşturucu tanımlanmadı veya için XmlResolverhiçbir güvenli değer kullanılmaz.

İhlalleri düzeltme

  • Yol bilgilerinin açığa çıkmasını önlemek için tüm XmlTextReader özel durumlarını yakalayın ve işleyin.

  • XmlTextReader'ın erişebileceği kaynakları kısıtlamak için XmlResolver yerine kullanın XmlSecureResolver.

Uyarıların ne zaman bastırılması gerekiyor?

Girişin güvenilir bir kaynaktan geldiğinin bilindiğinden emin değilseniz, bu uyarıdan bir kuralı gizlemeyin.

Uyarıyı gizleme

Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.

#pragma warning disable CA3077
// The code that's violating the rule is on this line.
#pragma warning restore CA3077

Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini none olarak ayarlayın.

[*.{cs,vb}]
dotnet_diagnostic.CA3077.severity = none

Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.

Sahte kod örnekleri

Ihlal

using System;
using System.Xml;

namespace TestNamespace
{
    class TestClass : XmlDocument
    {
        public TestClass () {} // warn
    }

    class TestClass2 : XmlTextReader
    {
        public TestClass2() // warn
        {
        }
    }
}

Çözüm

using System;
using System.Xml;

namespace TestNamespace
{
    class TestClass : XmlDocument
    {
        public TestClass ()
        {
            XmlResolver = null;
        }
    }

    class TestClass2 : XmlTextReader
    {
        public TestClass2()
        {
               XmlResolver = null;
        }
    }
}