CA5392: Usar el atributo DefaultDllImportSearchPaths para P/Invoke
| Propiedad | Value |
|---|---|
| Identificador de la regla | CA5392 |
| Título | Usar el atributo DefaultDllImportSearchPaths para P/Invoke |
| Categoría | Seguridad |
| La corrección interrumpe o no interrumpe | Poco problemático |
| Habilitado de forma predeterminada en .NET 9 | No |
Causa
DefaultDllImportSearchPathsAttribute no se ha especificado para una función de invocación de plataforma (P/Invoke).
Descripción de la regla
De forma predeterminada, las funciones P/Invoke que usan DllImportAttribute sondean un número de directorios, incluido el directorio de trabajo actual de la biblioteca que se va a cargar. Puede tratarse de un problema de seguridad para ciertas aplicaciones, que conducirá al secuestro de DLL.
Por ejemplo, si un archivo DLL malintencionado con el mismo nombre que el importado se coloca en el directorio de trabajo actual, que se buscará en primer lugar de forma predeterminada, se puede cargar el archivo DLL malintencionado.
Para obtener más información, vea Carga segura de una biblioteca.
Cómo corregir infracciones
Utilice DefaultDllImportSearchPathsAttribute para especificar la ruta de acceso de búsqueda de DLL explícitamente para el ensamblado o el método.
Cuándo suprimir las advertencias
Se puede suprimir esta regla si:
- Está seguro de que el ensamblado cargado es lo que quiere. Por ejemplo, la aplicación se ejecuta en un servidor de confianza y confía completamente en los archivos.
- El ensamblado importado es un ensamblado del sistema comúnmente utilizado, como user32.dll, y la estrategia de ruta de acceso de búsqueda sigue el mecanismo de DLL conocidas.
Supresión de una advertencia
Si solo quiere suprimir una única infracción, agregue directivas de preprocesador al archivo de origen para deshabilitar y volver a habilitar la regla.
#pragma warning disable CA5392
// The code that's violating the rule is on this line.
#pragma warning restore CA5392
Para deshabilitar la regla de un archivo, una carpeta o un proyecto, establezca su gravedad en none del archivo de configuración.
[*.{cs,vb}]
dotnet_diagnostic.CA5392.severity = none
Para obtener más información, consulte Procedimiento para suprimir advertencias de análisis de código.
Ejemplos de pseudocódigo
using System;
using System.Runtime.InteropServices;
class ExampleClass
{
[DllImport("The3rdAssembly.dll")]
public static extern int MessageBox(IntPtr hWnd, String text, String caption, uint type);
public void ExampleMethod()
{
MessageBox(new IntPtr(0), "Hello World!", "Hello Dialog", 0);
}
}
Solución
using System;
using System.Runtime.InteropServices;
class ExampleClass
{
[DllImport("The3rdAssembly.dll")]
[DefaultDllImportSearchPaths(DllImportSearchPath.UserDirectories)]
public static extern int MessageBox(IntPtr hWnd, String text, String caption, uint type);
public void ExampleMethod()
{
MessageBox(new IntPtr(0), "Hello World!", "Hello Dialog", 0);
}
}
