Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
| Propriedade | Valor |
|---|---|
| ID da regra | CA3002 |
| Título | Examinar código quanto a vulnerabilidades de XSS |
| Categoria | Segurança |
| Correção interruptiva ou sem interrupção | Inquebrável |
| Habilitado por padrão no .NET 10 | Não |
| Idiomas aplicáveis | C# e Visual Basic |
Causa
A entrada de solicitação HTTP potencialmente não confiável alcança uma saída de HTML bruto.
Por padrão, essa regra analisa toda a base de código, mas isso é configurável.
Descrição da regra
Ao trabalhar com entradas não confiáveis de solicitações da Web, tenha atenção quanto a ataques XSS (cross-site scripting). Um ataque XSS injeta uma entrada não confiável na saída HTML bruta, permitindo que o invasor execute scripts mal-intencionados ou modifique maliciosamente conteúdos em sua página da Web. Uma técnica típica é colocar elementos <script> com código mal-intencionado na entrada. Para obter mais informações, confira XSS do OWASP.
Essa regra tenta identificar a entrada de solicitações HTTP que resultam em uma saída HTML bruta.
Observação
Essa regra não é capaz de rastrear dados em assemblies. Por exemplo, se um assembly lê a entrada da solicitação HTTP e a transmite para outro assembly que produz uma saída em HTML bruto, essa regra não gerará um aviso.
Observação
Há um limite configurável para a profundidade com que essa regra analisa o fluxo de dados nas chamadas de método. Consulte Configuração do analisador para saber como configurar o limite em um arquivo EditorConfig.
Como corrigir violações
- Em vez de gerar HTML bruto, use um método ou uma propriedade que primeiro codifica HTML em sua entrada.
- Codificar dados não confiáveis em HTML antes de gerar HTML bruto.
Quando suprimir avisos
É seguro suprimir um aviso dessa regra se:
- Você sabe que a entrada é validada em relação a um conjunto seguro conhecido de caracteres que não contêm HTML.
- Você sabe que os dados são codificados em HTML de uma forma não detectada por essa regra.
Observação
Essa regra pode relatar falsos positivos para alguns métodos ou propriedades que codificam a entrada em HTML.
Suprimir um aviso
Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.
#pragma warning disable CA3002
// The code that's violating the rule is on this line.
#pragma warning restore CA3002
Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none no arquivo de configuração.
[*.{cs,vb}]
dotnet_diagnostic.CA3002.severity = none
Para obter mais informações, confira Como suprimir avisos de análise de código.
Configurar código para analisar
Use as opções a seguir para configurar em quais partes da base de código essa regra deve ser executada.
Você pode configurar essas opções apenas para essa regra, para todas as regras às quais elas se aplicam ou para todas as regras nessa categoria (Segurança) às quais elas se aplicam. Para saber mais, confira Opções de configuração de regra de qualidade de código.
Excluir símbolos específicos
Você pode excluir símbolos específicos, como tipos e métodos, da análise ao definir a opção excluded_symbol_names. Por exemplo, para especificar que a regra não deve ser executada em nenhum código dentro de tipos nomeados MyType, adicione o seguinte par chave-valor a um arquivo .editorconfig no seu projeto:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Observação
Substitua a XXXX parte de CAXXXX pela ID da regra aplicável.
Formatos de nome de símbolo permitidos no valor da opção (separados por |):
- Somente nome do símbolo (inclui todos os símbolos com o nome, independentemente do tipo ou namespace que contém).
- Nomes totalmente qualificados no formato de ID de documentação do símbolo. Cada nome de símbolo requer um prefixo do tipo símbolo, como
M:para métodos,T:para tipos eN:para namespaces. -
.ctorpara construtores e.cctorpara construtores estáticos.
Exemplos:
| Valor de Opção | Resumo |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Corresponde a todos os símbolos nomeados MyType. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Corresponde a todos os símbolos nomeados MyType1 ou MyType2. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Corresponde o método específico MyMethod à assinatura totalmente qualificada dada. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Corresponde métodos específicos MyMethod1 e MyMethod2 com suas respectivas assinaturas totalmente qualificadas. |
Excluir tipos específicos e seus tipos derivados
Você pode excluir tipos específicos e seus tipos derivados da análise ao definir a opção excluded_type_names_with_derived_types. Por exemplo, para especificar que a regra não deve ser executada em nenhum método dentro de tipos nomeados MyType e seus tipos derivados, adicione o seguinte par chave-valor a um arquivo .editorconfig no seu projeto:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Observação
Substitua a XXXX parte de CAXXXX pela ID da regra aplicável.
Formatos de nome de símbolo permitidos no valor da opção (separados por |):
- Apenas o nome do tipo (inclui todos os tipos com o nome, independentemente do tipo ou namespace que os contém).
- Nomes totalmente qualificados no formato de ID de documentação do símbolo, com um prefixo opcional
T:.
Exemplos:
| Valor de opção | Resumo |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Corresponde a todos os tipos nomeados MyType e todos os seus tipos derivados. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Corresponde a todos os tipos nomeados MyType1 ou MyType2 e todos os seus tipos derivados. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Corresponde a um tipo MyType específico com determinado nome totalmente qualificado e todos os seus tipos derivados. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Estabelece a correspondência entre tipos específicos MyType1 e MyType2 com os respectivos nomes totalmente qualificados, além de todos os seus tipos derivados. |
Exemplos de pseudocódigo
Violação
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string input = Request.Form["in"];
Response.Write("<HTML>" + input + "</HTML>");
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, e As EventArgs)
Dim input As String = Me.Request.Form("in")
Me.Response.Write("<HTML>" + input + "</HTML>")
End Sub
End Class
Solução
using System;
public partial class WebForm : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string input = Request.Form["in"];
// Example usage of System.Web.HttpServerUtility.HtmlEncode().
Response.Write("<HTML>" + Server.HtmlEncode(input) + "</HTML>");
}
}
Imports System
Partial Public Class WebForm
Inherits System.Web.UI.Page
Protected Sub Page_Load(sender As Object, e As EventArgs)
Dim input As String = Me.Request.Form("in")
' Example usage of System.Web.HttpServerUtility.HtmlEncode().
Me.Response.Write("<HTML>" + Me.Server.HtmlEncode(input) + "</HTML>")
End Sub
End Class
Colaborar conosco no GitHub
A fonte deste conteúdo pode ser encontrada no GitHub, onde você também pode criar e revisar problemas e solicitações de pull. Para obter mais informações, confira o nosso guia para colaboradores.
