Partilhar via


CA5363: Não desative a validação de solicitação

Property valor
ID da regra CA5363
Título Não desativar a validação de solicitação
Categoria Segurança
A correção está quebrando ou não quebrando Sem quebra
Habilitado por padrão no .NET 9 Não

Motivo

O atributo ValidateInput é definido como false para uma classe ou método.

Descrição da regra

A validação de solicitação é um recurso do ASP.NET que examina solicitações HTTP e determina se elas contêm conteúdo potencialmente perigoso que pode levar a ataques de injeção, incluindo scripts entre sites.

Como corrigir violações

Defina o atributo ou true exclua-o ValidateInput completamente. Como alternativa, use AllowHTMLAttribute para permitir HTML em partes específicas da entrada.

Quando suprimir avisos

Você pode suprimir essa violação se toda a carga na solicitação HTTP de entrada for proveniente de uma entidade confiável e não puder ser adulterada por um adversário antes ou durante o transporte.

Suprimir um aviso

Se você quiser apenas suprimir uma única violação, adicione diretivas de pré-processador ao seu arquivo de origem para desativar e, em seguida, reativar a regra.

#pragma warning disable CA5363
// The code that's violating the rule is on this line.
#pragma warning restore CA5363

Para desabilitar a regra de um arquivo, pasta ou projeto, defina sua gravidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA5363.severity = none

Para obter mais informações, consulte Como suprimir avisos de análise de código.

Exemplos de pseudocódigo

Violação

O exemplo de pseudocódigo a seguir ilustra o padrão detetado por essa regra. Isso desabilita a validação de entrada.

using System.Web.Mvc;

class TestControllerClass
{
    [ValidateInput(false)]
    public void TestActionMethod()
    {
    }
}

Solução

using System.Web.Mvc;

class TestControllerClass
{
    [ValidateInput(true)]
    public void TestActionMethod()
    {
    }
}