CA3002: Revisar o código para vulnerabilidades de XSS

Artigo
01/30/2024

Property	valor
ID da regra	CA3002
Título	Revisar o código para vulnerabilidades de XSS
Categoria	Segurança
A correção está quebrando ou não quebrando	Sem quebra
Habilitado por padrão no .NET 9	Não

Motivo

A entrada de solicitação HTTP potencialmente não confiável atinge a saída HTML bruta.

Por padrão, essa regra analisa toda a base de código, mas isso é configurável.

Descrição da regra

Ao trabalhar com entradas não confiáveis de solicitações da Web, esteja atento aos ataques de script entre sites (XSS). Um ataque XSS injeta entrada não confiável na saída HTML bruta, permitindo que o invasor execute scripts mal-intencionados ou modifique maliciosamente o conteúdo em sua página da Web. Uma técnica típica é colocar <script> elementos com código malicioso na entrada. Para obter mais informações, consulte XSS do OWASP.

Esta regra tenta localizar a entrada de solicitações HTTP que alcançam a saída HTML bruta.

Nota

Esta regra não pode rastrear dados entre assemblies. Por exemplo, se um assembly ler a entrada de solicitação HTTP e, em seguida, passá-la para outro assembly que produz HTML bruto, essa regra não produzirá um aviso.

Nota

Há um limite configurável para a profundidade com que essa regra analisará o fluxo de dados entre chamadas de método. Consulte Configuração do Analyzer para saber como configurar o limite em um arquivo EditorConfig.

Como corrigir violações

Em vez de enviar HTML bruto, use um método ou propriedade que primeiro codifica HTML sua entrada.
HTML codifica dados não confiáveis antes de enviar HTML bruto.

Quando suprimir avisos

É seguro suprimir um aviso desta regra se:

Você sabe que a entrada é validada em relação a um conjunto seguro conhecido de caracteres que não contêm HTML.
Você sabe que os dados são codificados em HTML de uma forma não detetada por esta regra.

Nota

Esta regra pode relatar falsos positivos para alguns métodos ou propriedades que codificam HTML sua entrada.

Suprimir um aviso

Se você quiser apenas suprimir uma única violação, adicione diretivas de pré-processador ao seu arquivo de origem para desativar e, em seguida, reativar a regra.

#pragma warning disable CA3002
// The code that's violating the rule is on this line.
#pragma warning restore CA3002

Para desabilitar a regra de um arquivo, pasta ou projeto, defina sua gravidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA3002.severity = none

Para obter mais informações, consulte Como suprimir avisos de análise de código.

Configurar código para análise

Use as opções a seguir para configurar em quais partes da base de código executar essa regra.

Excluir símbolos específicos
Excluir tipos específicos e seus tipos derivados

Você pode configurar essas opções apenas para esta regra, para todas as regras às quais ela se aplica ou para todas as regras nesta categoria (Segurança) às quais ela se aplica. Para obter mais informações, consulte Opções de configuração da regra de qualidade de código.

Excluir símbolos específicos

Você pode excluir símbolos específicos, como tipos e métodos, da análise. Por exemplo, para especificar que a regra não deve ser executada em nenhum código dentro de tipos nomeados MyType, adicione o seguinte par chave-valor a um arquivo .editorconfig em seu projeto:

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

Formatos de nome de símbolo permitidos no valor da opção (separados por |):

Somente nome do símbolo (inclui todos os símbolos com o nome, independentemente do tipo ou namespace que o contém).
Nomes totalmente qualificados no formato de ID de documentação do símbolo. Cada nome de símbolo requer um prefixo de tipo de símbolo, como M: para métodos, T: para tipos e N: para namespaces.
.ctor para construtores e .cctor para construtores estáticos.

Exemplos:

Valor da opção	Resumo
`dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType`	Corresponde a todos os símbolos denominados `MyType`.
`dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1\|MyType2`	Corresponde a todos os símbolos denominados ou `MyType1` `MyType2`.
`dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType)`	Corresponde ao método `MyMethod` específico com a assinatura totalmente qualificada especificada.
`dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)\|M:NS2.MyType2.MyMethod2(ParamType)`	Corresponde a métodos `MyMethod1` específicos e `MyMethod2` com as respetivas assinaturas totalmente qualificadas.

Excluir tipos específicos e seus tipos derivados

Você pode excluir tipos específicos e seus tipos derivados da análise. Por exemplo, para especificar que a regra não deve ser executada em nenhum método dentro de tipos nomeados MyType e seus tipos derivados, adicione o seguinte par chave-valor a um arquivo .editorconfig em seu projeto:

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

Formatos de nome de símbolo permitidos no valor da opção (separados por |):

Somente nome do tipo (inclui todos os tipos com o nome, independentemente do tipo ou namespace que o contém).
Nomes totalmente qualificados no formato de ID de documentação do símbolo, com um prefixo opcionalT:.

Exemplos:

Valor da opção	Resumo
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType`	Corresponde a todos os tipos nomeados `MyType` e todos os seus tipos derivados.
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1\|MyType2`	Corresponde a todos os tipos nomeados ou `MyType1` e `MyType2` todos os seus tipos derivados.
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType`	Corresponde a um tipo `MyType` específico com um determinado nome totalmente qualificado e todos os seus tipos derivados.
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1\|M:NS2.MyType2`	Corresponde a tipos `MyType1` específicos e `MyType2` com os respetivos nomes totalmente qualificados, e todos os seus tipos derivados.

Exemplos de pseudocódigo

Violação

using System;

public partial class WebForm : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        string input = Request.Form["in"];
        Response.Write("<HTML>" + input + "</HTML>");
    }
}

Imports System

Partial Public Class WebForm
    Inherits System.Web.UI.Page

    Protected Sub Page_Load(sender As Object, e As EventArgs)
        Dim input As String = Me.Request.Form("in")
        Me.Response.Write("<HTML>" + input + "</HTML>")
    End Sub
End Class

Solução

using System;

public partial class WebForm : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        string input = Request.Form["in"];

        // Example usage of System.Web.HttpServerUtility.HtmlEncode().
        Response.Write("<HTML>" + Server.HtmlEncode(input) + "</HTML>");
    }
}

Imports System

Partial Public Class WebForm
    Inherits System.Web.UI.Page

    Protected Sub Page_Load(sender As Object, e As EventArgs)
        Dim input As String = Me.Request.Form("in")

        ' Example usage of System.Web.HttpServerUtility.HtmlEncode().
        Me.Response.Write("<HTML>" + Me.Server.HtmlEncode(input) + "</HTML>")
    End Sub
End Class

Partilhar via

CA3002: Revisar o código para vulnerabilidades de XSS

Motivo

Descrição da regra

Como corrigir violações

Quando suprimir avisos

Suprimir um aviso

Configurar código para análise

Excluir símbolos específicos

Excluir tipos específicos e seus tipos derivados

Exemplos de pseudocódigo

Violação

Solução

Recursos adicionais