Partager via


CA5368 : Définir ViewStateUserKey pour les classes dérivées de Page

Propriété Value
Identificateur de la règle CA5368
Titre Définir ViewStateUserKey pour les classes dérivées de Page
Catégorie Sécurité
Le correctif est cassant ou non cassant Sans rupture
Activée par défaut dans .NET 9 Non

Cause

La propriété Page.ViewStateUserKey n’est pas affectée dans Page.OnInit ou la méthode Page_Init.

Description de la règle

Lors de la conception d’un formulaire web ASP.NET, n’oubliez pas les attaques de falsification de requête intersite (CSRF). Une attaque CSRF peut envoyer des requêtes malveillantes d’un utilisateur authentifié à votre formulaire web ASP.NET.

Une façon de se protéger contre les attaques CSRF dans un formulaire web ASP.NET le ViewStateUserKey d’une page sur une chaîne imprévisible et unique à une session. Pour plus d’informations, consultez Utilisation des fonctionnalités intégrées ASP.NET pour repousser les attaques web.

Comment corriger les violations

Définissez la propriété ViewStateUserKey sur une chaîne imprévisible et unique par session. Par exemple, si vous utilisez l’état de session ASP.NET, HttpSessionState.SessionID fonctionnera.

Quand supprimer les avertissements

Il est sûr de supprimer un avertissement de cette règle si :

  • La page de formulaire web ASP.NET n’effectue pas d’opérations sensibles.
  • Les attaques de falsification de requêtes intersite sont atténuées d’une manière que cette règle ne détecte pas. Par exemple, si la page hérite d’une page master qui contient des défenses contre la falsification de requête intersites.

Supprimer un avertissement

Si vous voulez supprimer une seule violation, ajoutez des directives de préprocesseur à votre fichier source pour désactiver et réactiver la règle.

#pragma warning disable CA5368
// The code that's violating the rule is on this line.
#pragma warning restore CA5368

Pour désactiver la règle sur un fichier, un dossier ou un projet, définissez sa gravité sur none dans le fichier de configuration.

[*.{cs,vb}]
dotnet_diagnostic.CA5368.severity = none

Pour plus d’informations, consultez Comment supprimer les avertissements de l’analyse de code.

Exemples de pseudo-code

Violation

using System;
using System.Web.UI;

class ExampleClass : Page
{
    protected override void OnInit (EventArgs e)
    {
    }
}

Solution

using System;
using System.Web.UI;

class ExampleClass : Page
{
    protected override void OnInit (EventArgs e)
    {
        // Assuming that your page makes use of ASP.NET session state and the SessionID is stable.
        ViewStateUserKey = Session.SessionID;
    }
}