CA3002: Kontrola ohrožení zabezpečení XSS v kódu
| Vlastnost | Hodnota |
|---|---|
| ID pravidla | CA3002 |
| Název | Zkontrolujte ohrožení zabezpečení proti XSS v kódu |
| Kategorie | Zabezpečení |
| Oprava způsobující chybu nebo chybu způsobující chybu | Nenarušující |
| Povoleno ve výchozím nastavení v .NET 9 | No |
Příčina
Potenciálně nedůvěryhodný vstup požadavku HTTP dosáhne nezpracovaného výstupu HTML.
Ve výchozím nastavení toto pravidlo analyzuje celý základ kódu, ale dá se nakonfigurovat.
Popis pravidla
Při práci s nedůvěryhodným vstupem z webových požadavků mějte na paměti útoky na skriptování mezi weby (XSS). Útok XSS vloží nedůvěryhodný vstup do nezpracovaného výstupu HTML, což útočníkovi umožní spouštět škodlivé skripty nebo škodlivé úpravy obsahu na webové stránce. Typická technika představuje vkládání <script> prvků se škodlivým kódem do vstupu. Další informace najdete v XSS OWASP.
Toto pravidlo se pokusí najít vstup z požadavků HTTP při dosažení nezpracovaného výstupu HTML.
Poznámka:
Toto pravidlo nemůže sledovat data napříč sestaveními. Pokud například jedno sestavení přečte vstup požadavku HTTP a pak ho předá jinému sestavení, které generuje nezpracovaný kód HTML, toto pravidlo nevygeneruje upozornění.
Poznámka:
Existuje konfigurovatelný limit toho, jak toto pravidlo bude analyzovat tok dat napříč voláními metod. Informace o konfiguraci limitu v souboru EditorConfig najdete v tématu Konfigurace analyzátoru.
Jak opravit porušení
- Místo výstupu nezpracovaného KÓDU HTML použijte metodu nebo vlastnost, která nejprve kóduje vstup HTML.
- Před výstupem nezpracovaného KÓDU HTML kódujte nedůvěryhodná data.
Kdy potlačit upozornění
Upozornění z tohoto pravidla je bezpečné potlačit, pokud:
- Víte, že vstup je ověřen proti známé bezpečné sadě znaků, které neobsahují html.
- Víte, že data jsou kódována html způsobem, který tento pravidlo nezjistí.
Poznámka:
Toto pravidlo může hlásit falešně pozitivní výsledky pro některé metody nebo vlastnosti, které kódují jejich vstup html.
Potlačení upozornění
Pokud chcete pouze potlačit jedno porušení, přidejte do zdrojového souboru direktivy preprocesoru, abyste pravidlo zakázali a znovu povolili.
#pragma warning disable CA3002
// The code that's violating the rule is on this line.
#pragma warning restore CA3002
Pokud chcete pravidlo pro soubor, složku nebo projekt zakázat, nastavte jeho závažnost v none konfiguračním souboru.
[*.{cs,vb}]
dotnet_diagnostic.CA3002.severity = none
Další informace naleznete v tématu Jak potlačit upozornění analýzy kódu.
Konfigurace kódu pro analýzu
Pomocí následujících možností můžete nakonfigurovat, pro které části základu kódu se má toto pravidlo spouštět.
Tyto možnosti můžete nakonfigurovat jenom pro toto pravidlo, pro všechna pravidla, která platí pro, nebo pro všechna pravidla v této kategorii (zabezpečení), na která se vztahují. Další informace naleznete v tématu Možnosti konfigurace pravidla kvality kódu.
Vyloučení konkrétních symbolů
Z analýzy můžete vyloučit konkrétní symboly, jako jsou typy a metody, nastavením možnosti excluded_symbol_names. Pokud chcete například určit, že pravidlo by se nemělo spouštět u žádného kódu v rámci pojmenovaných MyTypetypů, přidejte do souboru .editorconfig v projektu následující dvojici klíč-hodnota:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Poznámka:
Nahraďte XXXX část CAXXXX ID příslušného pravidla.
Povolené formáty názvů symbolů v hodnotě možnosti (oddělené ):|
- Pouze název symbolu (zahrnuje všechny symboly s názvem bez ohledu na typ nebo obor názvů).
- Plně kvalifikované názvy ve formátu ID dokumentace symbolu. Každý název symbolu vyžaduje předponu typu symbolu, například
M:pro metody,T:typy aN:obory názvů. -
.ctorpro konstruktory a.cctorstatické konstruktory.
Příklady:
| Hodnota možnosti | Shrnutí |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Odpovídá všem symbolům s názvem MyType. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Porovná všechny symboly pojmenované buď MyType1 nebo MyType2. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Odpovídá konkrétní metodě MyMethod se zadaným plně kvalifikovaným podpisem. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Odpovídá konkrétním metodám MyMethod1 a MyMethod2 příslušným plně kvalifikovaným podpisům. |
Vyloučení konkrétních typů a jejich odvozených typů
Konkrétní typy a jejich odvozené typy můžete vyloučit z analýzy nastavením možnosti excluded_type_names_with_derived_types. Pokud chcete například určit, že pravidlo by se nemělo spouštět u žádné metody v rámci pojmenovaných MyType typů a jejich odvozených typů, přidejte do souboru .editorconfig v projektu následující dvojici klíč-hodnota:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Poznámka:
Nahraďte XXXX část CAXXXX ID příslušného pravidla.
Povolené formáty názvů symbolů v hodnotě možnosti (oddělené ):|
- Pouze název typu (zahrnuje všechny typy s názvem bez ohledu na typ nebo obor názvů).
- Plně kvalifikované názvy ve formátu ID dokumentace symbolu s volitelnou
T:předponou.
Příklady:
| Hodnota možnosti | Shrnutí |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Odpovídá všem pojmenovaným MyType typům a všem jejich odvozeným typům. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Odpovídá všem typům pojmenovaným buď MyType1 nebo MyType2 a všem jejich odvozeným typům. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Odpovídá určitému typu MyType s daným plně kvalifikovaným názvem a všemi jeho odvozenými typy. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Odpovídá konkrétním typům MyType1 a MyType2 příslušným plně kvalifikovaným názvům a všem jejich odvozeným typům. |
Příklady pseudokódu
Porušení
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string input = Request.Form["in"];
Response.Write("<HTML>" + input + "</HTML>");
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, e As EventArgs)
Dim input As String = Me.Request.Form("in")
Me.Response.Write("<HTML>" + input + "</HTML>")
End Sub
End Class
Řešení
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string input = Request.Form["in"];
// Example usage of System.Web.HttpServerUtility.HtmlEncode().
Response.Write("<HTML>" + Server.HtmlEncode(input) + "</HTML>");
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, e As EventArgs)
Dim input As String = Me.Request.Form("in")
' Example usage of System.Web.HttpServerUtility.HtmlEncode().
Me.Response.Write("<HTML>" + Me.Server.HtmlEncode(input) + "</HTML>")
End Sub
End Class
