CA2101: Especificar empacotamento para argumentos de cadeia de caracteres P/Invoke
Property | valor |
---|---|
ID da regra | CA2101 |
Título | Especificar empacotamento para argumentos de cadeia de caracteres P/Invoke |
Categoria | Globalização |
A correção está quebrando ou não quebrando | Sem quebra |
Habilitado por padrão no .NET 9 | Como sugestão |
Motivo
Um membro de invocação de plataforma permite chamadores parcialmente confiáveis, tem um parâmetro string e não empacota explicitamente a string.
Descrição da regra
Quando você converte de Unicode para ANSI, é possível que nem todos os caracteres Unicode possam ser representados em uma página de código ANSI específica. O mapeamento mais adequado tenta resolver esse problema substituindo um caractere pelo caractere que não pode ser representado. O uso desse recurso pode causar uma vulnerabilidade de segurança potencial porque você não pode controlar o caractere escolhido. Por exemplo, um código mal-intencionado pode criar intencionalmente uma cadeia de caracteres Unicode que contém caracteres que não são encontrados em uma página de código específica, que são convertidos em caracteres especiais do sistema de arquivos, como '..' ou «/». Observe também que as verificações de segurança para caracteres especiais ocorrem com freqüência antes que a cadeia de caracteres seja convertida em ANSI.
O mapeamento de melhor ajuste é o padrão para a conversão não gerenciada, WChar para MByte. A menos que você desabilite explicitamente o mapeamento de melhor ajuste, seu código pode conter uma vulnerabilidade de segurança explorável devido a esse problema.
Atenção
A Segurança de Acesso ao Código (CAS) não deve ser considerada um limite de segurança.
Como corrigir violações
Para corrigir uma violação dessa regra, marshal explicitamente tipos de dados de cadeia de caracteres.
Quando suprimir avisos
Não suprima um aviso desta regra.
Exemplo
O exemplo a seguir mostra um método que viola essa regra e, em seguida, mostra como corrigir a violação.
class NativeMethods
{
// Violates rule: SpecifyMarshalingForPInvokeStringArguments.
[DllImport("advapi32.dll", CharSet = CharSet.Auto)]
internal static extern int RegCreateKey(IntPtr key, String subKey, out IntPtr result);
// Satisfies rule: SpecifyMarshalingForPInvokeStringArguments.
[DllImport("advapi32.dll", CharSet = CharSet.Unicode)]
internal static extern int RegCreateKey2(IntPtr key, String subKey, out IntPtr result);
}
Friend Class NativeMethods
' Violates rule: SpecifyMarshalingForPInvokeStringArguments.
<DllImport("advapi32.dll", CharSet:=CharSet.Auto)>
Friend Shared Function RegCreateKey(ByVal key As IntPtr, ByVal subKey As String, <Out> ByRef result As IntPtr) As Integer
End Function
' Satisfies rule: SpecifyMarshalingForPInvokeStringArguments.
<DllImport("advapi32.dll", CharSet:=CharSet.Unicode)>
Friend Shared Function RegCreateKey2(ByVal key As IntPtr, ByVal subKey As String, <Out> ByRef result As IntPtr) As Integer
End Function
End Class