CA5374: Não usar XslTransform

Artigo
10/22/2024

Property	Valor
ID da regra	CA5374
Título	Não utilize o XslTransform
Categoria	Segurança
Correção interruptiva ou sem interrupção	Sem interrupção
Habilitado por padrão no .NET 9	Não

Causa

Instancie um System.Xml.Xsl.XslTransform, que não restringe referências externas potencialmente perigosas nem impede scripts.

Descrição da regra

XslTransform é vulnerável ao operar em entrada não confiável. Um ataque pode executar código arbitrário.

Como corrigir violações

Substitua XslTransform por System.Xml.Xsl.XslCompiledTransform. Para obter mais diretrizes, consulte Migrando da classe XslTransform.

Quando suprimir avisos

O objeto XslTransform, as folhas de estilo XSLT e os dados de origem XML são todos de fontes confiáveis.

Suprimir um aviso

Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.

#pragma warning disable CA5374
// The code that's violating the rule is on this line.
#pragma warning restore CA5374

Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA5374.severity = none

Para obter mais informações, confira Como suprimir avisos de análise de código.

Exemplos de pseudocódigo

Violação

No momento, o exemplo de pseudocódigo a seguir ilustra o padrão detectado por essa regra.

using System;
using System.Xml;
using System.Xml.XPath;
using System.Xml.Xsl;

namespace TestForXslTransform
{
    class Program
    {
        static void Main(string[] args)
        {
            // Create a new XslTransform object.
            XslTransform xslt = new XslTransform();

            // Load the stylesheet.
            xslt.Load("https://server/favorite.xsl");

            // Create a new XPathDocument and load the XML data to be transformed.
            XPathDocument mydata = new XPathDocument("inputdata.xml");

            // Create an XmlTextWriter which outputs to the console.
            XmlWriter writer = new XmlTextWriter(Console.Out);

            // Transform the data and send the output to the console.
            xslt.Transform(mydata, null, writer, null);
        }
    }
}

Solução

using System.Xml;
using System.Xml.Xsl;

namespace TestForXslTransform
{
    class Program
    {
        static void Main(string[] args)
        {
            // Default XsltSettings constructor disables the XSLT document() function
            // and embedded script blocks.
            XsltSettings settings = new XsltSettings();

            // Execute the transform.
            XslCompiledTransform xslt = new XslCompiledTransform();
            xslt.Load("https://server/favorite.xsl", settings, new XmlUrlResolver());
            xslt.Transform("inputdata.xml", "outputdata.html");
        }
    }
}

Compartilhar via