CA5374 : N’utilisez pas XslTransform
| Propriété | Value |
|---|---|
| Identificateur de la règle | CA5374 |
| Titre | Ne pas utiliser XslTransform |
| Catégorie | Sécurité |
| Le correctif est cassant ou non cassant | Sans rupture |
| Activé par défaut dans .NET 8 | Non |
Cause
Instanciation d’un System.Xml.Xsl.XslTransform, qui ne limite pas les références externes potentiellement dangereuses ou n’empêche pas les scripts.
Description de la règle
XslTransform est vulnérable lors de l’utilisation d’une entrée non approuvée. Une attaque peut exécuter du code arbitraire.
Comment corriger les violations
Remplacez XslTransform par System.Xml.Xsl.XslCompiledTransform. Pour plus d’informations, consultez Migration à partir de la classe XslTransform.
Quand supprimer les avertissements
L’objet XslTransform, les feuilles de style XSLT et les données sources XML proviennent tous de sources approuvées.
Supprimer un avertissement
Si vous voulez supprimer une seule violation, ajoutez des directives de préprocesseur à votre fichier source pour désactiver et réactiver la règle.
#pragma warning disable CA5374
// The code that's violating the rule is on this line.
#pragma warning restore CA5374
Pour désactiver la règle sur un fichier, un dossier ou un projet, définissez sa gravité sur none dans le fichier de configuration.
[*.{cs,vb}]
dotnet_diagnostic.CA5374.severity = none
Pour plus d’informations, consultez Comment supprimer les avertissements de l’analyse de code.
Exemples de pseudo-code
Violation
À présent, le pseudo-code suivant illustre le modèle détecté par cette règle.
using System;
using System.Xml;
using System.Xml.XPath;
using System.Xml.Xsl;
namespace TestForXslTransform
{
class Program
{
static void Main(string[] args)
{
// Create a new XslTransform object.
XslTransform xslt = new XslTransform();
// Load the stylesheet.
xslt.Load("https://server/favorite.xsl");
// Create a new XPathDocument and load the XML data to be transformed.
XPathDocument mydata = new XPathDocument("inputdata.xml");
// Create an XmlTextWriter which outputs to the console.
XmlWriter writer = new XmlTextWriter(Console.Out);
// Transform the data and send the output to the console.
xslt.Transform(mydata, null, writer, null);
}
}
}
Solution
using System.Xml;
using System.Xml.Xsl;
namespace TestForXslTransform
{
class Program
{
static void Main(string[] args)
{
// Default XsltSettings constructor disables the XSLT document() function
// and embedded script blocks.
XsltSettings settings = new XsltSettings();
// Execute the transform.
XslCompiledTransform xslt = new XslCompiledTransform();
xslt.Load("https://server/favorite.xsl", settings, new XmlUrlResolver());
xslt.Transform("inputdata.xml", "outputdata.html");
}
}
}
