CA3077: Processamento não seguro em design de API, documento XML e leitor de texto XML
Property | valor |
---|---|
ID da regra | CA3077 |
Título | Processamento inseguro em design de API, documento XML e leitor de texto XML |
Categoria | Segurança |
A correção está quebrando ou não quebrando | Sem quebra |
Habilitado por padrão no .NET 9 | Não |
Motivo
Ao projetar uma API derivada de XMLDocument e XMLTextReader, esteja atento ao DtdProcessing. O uso de instâncias inseguras de DTDProcessing ao referenciar ou resolver fontes de entidades externas ou definir valores inseguros no XML pode levar à divulgação de informações.
Descrição da regra
Uma definição de tipo de documento (DTD) é uma das duas maneiras pelas quais um analisador XML pode determinar a validade de um documento, conforme definido pelo World Wide Web Consortium (W3C) Extensible Markup Language (XML) 1.0. Esta regra procura propriedades e instâncias em que dados não confiáveis são aceitos para avisar os desenvolvedores sobre possíveis ameaças de divulgação de informações, que podem levar a ataques de negação de serviço (DoS ). Esta regra é acionada quando:
XmlDocument ou XmlTextReader classes usam valores de resolvedor padrão para processamento DTD.
Nenhum construtor é definido para as classes derivadas XmlDocument ou XmlTextReader ou nenhum valor seguro é usado para XmlResolver.
Como corrigir violações
Capture e processe todas as exceções XmlTextReader corretamente para evitar a divulgação de informações de caminho.
Use XmlSecureResolverem vez de XmlResolver para restringir os recursos que o XmlTextReader pode acessar.
Quando suprimir avisos
A menos que você tenha certeza de que a entrada é conhecida por ser de uma fonte confiável, não suprima uma regra deste aviso.
Suprimir um aviso
Se você quiser apenas suprimir uma única violação, adicione diretivas de pré-processador ao seu arquivo de origem para desativar e, em seguida, reativar a regra.
#pragma warning disable CA3077
// The code that's violating the rule is on this line.
#pragma warning restore CA3077
Para desabilitar a regra de um arquivo, pasta ou projeto, defina sua gravidade como none
no arquivo de configuração.
[*.{cs,vb}]
dotnet_diagnostic.CA3077.severity = none
Para obter mais informações, consulte Como suprimir avisos de análise de código.
Exemplos de pseudocódigo
Violação
using System;
using System.Xml;
namespace TestNamespace
{
class TestClass : XmlDocument
{
public TestClass () {} // warn
}
class TestClass2 : XmlTextReader
{
public TestClass2() // warn
{
}
}
}
Solução
using System;
using System.Xml;
namespace TestNamespace
{
class TestClass : XmlDocument
{
public TestClass ()
{
XmlResolver = null;
}
}
class TestClass2 : XmlTextReader
{
public TestClass2()
{
XmlResolver = null;
}
}
}