Compartilhar via


CA5369: Usar o XmlReader para desserializar

Property Valor
ID da regra CA5369
Título Usar o XmlReader para desserializar
Categoria Segurança
Correção interruptiva ou sem interrupção Sem interrupção
Habilitado por padrão no .NET 9 Não

Causa

A desserialização de entrada XML não confiável com XmlSerializer.Deserialize instanciado sem um objeto XmlReader poderá resultar em ataques de negação de serviço, divulgação de informações e falsificação de solicitação do lado do servidor. Esses ataques são habilitados por DTD não confiável e processamento de esquema XML, o que permite a inclusão de bombas XML e entidades externas mal-intencionadas no XML. Somente com XmlReader é possível desabilitar o DTD. O processamento de esquema XML embutido como XmlReader tem a propriedade ProhibitDtd e ProcessInlineSchema definida como false por padrão no .NET Framework versão 4.0 e posterior. As outras opções, como Stream, TextReader e XmlSerializationReader não podem desabilitar o processamento de DTD.

Descrição da regra

O processamento de esquemas DTD e XML não confiáveis pode permitir o carregamento de referências externas perigosas, que devem ser restringidas usando um XmlReader com um resolvedor seguro ou com o processamento de esquema em linha DTD e XML desabilitado. Essa regra detecta o código que usa o método XmlSerializer.Deserialize e não usa XmlReader como parâmetro do construtor.

Como corrigir violações

Não use sobrecargas XmlSerializer.Deserialize diferentes de Deserialize(XmlReader), Deserialize(XmlReader, String), Deserialize(XmlReader, XmlDeserializationEvents) ou Deserialize(XmlReader, String, XmlDeserializationEvents).

Quando suprimir avisos

Você pode potencialmente suprimir esse aviso se o XML analisado vier de uma fonte confiável e, portanto, não puder ser adulterado.

Suprimir um aviso

Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.

#pragma warning disable CA5369
// The code that's violating the rule is on this line.
#pragma warning restore CA5369

Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA5369.severity = none

Para obter mais informações, confira Como suprimir avisos de análise de código.

Exemplos de pseudocódigo

Violação

O exemplo de pseudocódigo a seguir ilustra o padrão detectado por essa regra. O tipo do primeiro parâmetro de XmlSerializer.Deserialize não é XmlReader ou uma classe derivada dele.

using System.IO;
using System.Xml.Serialization;
...
new XmlSerializer(typeof(TestClass).Deserialize(new FileStream("filename", FileMode.Open));

Solução

using System.IO;
using System.Xml;
using System.Xml.Serialization;
...
new XmlSerializer(typeof(TestClass)).Deserialize(XmlReader.Create (new FileStream("filename", FileMode.Open)));