CA5363: Não desabilitar a validação de solicitação
Property | Valor |
---|---|
ID da regra | CA5363 |
Título | Não desabilitar a validação de solicitação |
Categoria | Segurança |
Correção interruptiva ou sem interrupção | Sem interrupção |
Habilitado por padrão no .NET 9 | Não |
Causa
O atributo ValidateInput
é definido como false
para uma classe ou método.
Descrição da regra
A validação de solicitação é um recurso no ASP.NET que examina solicitações HTTP e determina se elas incluem conteúdos potencialmente perigosos que podem levar a ataques de injeção, incluindo cross-site scripting.
Como corrigir violações
Defina o atributo ValidateInput
como true
ou exclua-o completamente. Como alternativa, use AllowHTMLAttribute
para permitir HTML em partes específicas da entrada.
Quando suprimir avisos
É possível suprimir essa violação se todo o conteúdo na solicitação HTTP de entrada for proveniente de uma entidade confiável e não puder ser adulterado por um adversário antes ou durante o transporte.
Suprimir um aviso
Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.
#pragma warning disable CA5363
// The code that's violating the rule is on this line.
#pragma warning restore CA5363
Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none
no arquivo de configuração.
[*.{cs,vb}]
dotnet_diagnostic.CA5363.severity = none
Para obter mais informações, confira Como suprimir avisos de análise de código.
Exemplos de pseudocódigo
Violação
O exemplo de pseudocódigo a seguir ilustra o padrão detectado por essa regra. Isso desabilita a validação de entrada.
using System.Web.Mvc;
class TestControllerClass
{
[ValidateInput(false)]
public void TestActionMethod()
{
}
}
Solução
using System.Web.Mvc;
class TestControllerClass
{
[ValidateInput(true)]
public void TestActionMethod()
{
}
}