Compartilhar via


CA5363: Não desabilitar a validação de solicitação

Property Valor
ID da regra CA5363
Título Não desabilitar a validação de solicitação
Categoria Segurança
Correção interruptiva ou sem interrupção Sem interrupção
Habilitado por padrão no .NET 9 Não

Causa

O atributo ValidateInput é definido como false para uma classe ou método.

Descrição da regra

A validação de solicitação é um recurso no ASP.NET que examina solicitações HTTP e determina se elas incluem conteúdos potencialmente perigosos que podem levar a ataques de injeção, incluindo cross-site scripting.

Como corrigir violações

Defina o atributo ValidateInput como true ou exclua-o completamente. Como alternativa, use AllowHTMLAttribute para permitir HTML em partes específicas da entrada.

Quando suprimir avisos

É possível suprimir essa violação se todo o conteúdo na solicitação HTTP de entrada for proveniente de uma entidade confiável e não puder ser adulterado por um adversário antes ou durante o transporte.

Suprimir um aviso

Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.

#pragma warning disable CA5363
// The code that's violating the rule is on this line.
#pragma warning restore CA5363

Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA5363.severity = none

Para obter mais informações, confira Como suprimir avisos de análise de código.

Exemplos de pseudocódigo

Violação

O exemplo de pseudocódigo a seguir ilustra o padrão detectado por essa regra. Isso desabilita a validação de entrada.

using System.Web.Mvc;

class TestControllerClass
{
    [ValidateInput(false)]
    public void TestActionMethod()
    {
    }
}

Solução

using System.Web.Mvc;

class TestControllerClass
{
    [ValidateInput(true)]
    public void TestActionMethod()
    {
    }
}