CA5395: 작업 메서드에 대한 HttpVerb 특성 누락
| 속성 | 값 |
|---|---|
| 규칙 ID | CA5395 |
| 제목 | 작업 메서드의 HttpVerb 특성이 없습니다. |
| 범주 | 보안 |
| 수정 사항이 주요 변경인지 여부 | 주요 변경 아님 |
| .NET 9에서 기본적으로 사용 | 아니요 |
원인
작업 메서드에 대한 HTTP 요청의 종류를 명시적으로 지정하지 않았습니다.
규칙 설명
데이터를 생성, 편집, 삭제 또는 수정하는 모든 작업 메서드는 위조 방지 특성을 사용하여 교차 사이트 요청 위조 공격으로부터 보호되어야 합니다. GET 작업 수행은 부작용이 없고 영구 데이터를 수정하지 않는 안전한 작업이어야 합니다.
위반 문제를 해결하는 방법
작업 메서드를 HttpVerb 특성으로 표시합니다.
경고를 표시하지 않는 경우
다음 경우에는 이 규칙의 경고를 표시하지 않아도 됩니다.
- 작업 메서드에서 수정 작업이 수행되고 있지 않습니다. 또는 작업 메서드가 아닙니다.
- 위조 방지 토큰 특성 사용 이외의 다른 솔루션을 채택하여 CSRF 취약성을 완화합니다. 자세한 내용은 ASP.NET Core에서 교차 사이트 요청 위조(XSRF/CSRF) 공격 방지를 참조하세요.
경고 표시 안 함
단일 위반만 표시하지 않으려면 원본 파일에 전처리기 지시문을 추가하여 규칙을 사용하지 않도록 설정한 후 다시 사용하도록 설정합니다.
#pragma warning disable CA5395
// The code that's violating the rule is on this line.
#pragma warning restore CA5395
파일, 폴더 또는 프로젝트에 대한 규칙을 사용하지 않도록 설정하려면 구성 파일에서 심각도를 none으로 설정합니다.
[*.{cs,vb}]
dotnet_diagnostic.CA5395.severity = none
자세한 내용은 방법: 코드 분석 경고 표시 안 함을 참조하세요.
의사 코드 예제
위반
using Microsoft.AspNetCore.Mvc;
[ValidateAntiForgeryToken]
class BlahController : Controller
{
}
class ExampleController : Controller
{
public IActionResult ExampleAction()
{
return null;
}
}
해결 방법
using Microsoft.AspNetCore.Mvc;
[ValidateAntiForgeryToken]
class BlahController : Controller
{
}
class ExampleController : Controller
{
[HttpGet]
public IActionResult ExampleAction()
{
return null;
}
}
GitHub에서 Microsoft와 공동 작업
이 콘텐츠의 원본은 GitHub에서 찾을 수 있으며, 여기서 문제와 끌어오기 요청을 만들고 검토할 수도 있습니다. 자세한 내용은 참여자 가이드를 참조하세요.
.NET