Compartilhar via


CA5366: Usar XmlReader para XML da leitura do conjunto de dados

Property Valor
ID da regra CA5366
Título Usar XmlReader para XML da leitura do conjunto de dados
Categoria Segurança
Correção interruptiva ou sem interrupção Sem interrupção
Habilitado por padrão no .NET 9 Não

Causa

Uma DTD (Definição de Tipo de Documento) define a estrutura e os elementos e atributos legais de um documento XML. Fazer referência a um DTD de um recurso externo pode causar possíveis ataques de DoS (Negação de Serviço). A maioria dos leitores não pode desabilitar o processamento de DTD e restringir o carregamento de referências externas, exceto para System.Xml.XmlReader. Usar esses outros leitores para carregar XML por um dos seguintes métodos dispara esta regra:

Descrição da regra

O uso de System.Data.DataSet para ler XML contendo dados não confiáveis pode carregar referências externas perigosas, que devem ser restringidas usando um XmlReader com um resolvedor seguro ou com o processamento de DTD desabilitado.

Como corrigir violações

Use XmlReader ou suas classes derivadas para ler XML.

Quando suprimir avisos

Suprime um aviso dessa regra ao lidar com uma fonte de dados confiável.

Suprimir um aviso

Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.

#pragma warning disable CA5366
// The code that's violating the rule is on this line.
#pragma warning restore CA5366

Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA5366.severity = none

Para obter mais informações, confira Como suprimir avisos de análise de código.

Exemplos de pseudocódigo

Violação

using System.Data;
using System.IO;

public class ExampleClass
{
    public void ExampleMethod()
    {
        new DataSet().ReadXml(new FileStream("xmlFilename", FileMode.Open));
    }
}

Solução

using System.Data;
using System.IO;
using System.Xml;

public class ExampleClass
{
    public void ExampleMethod()
    {
        new DataSet().ReadXml(new XmlTextReader(new FileStream("xmlFilename", FileMode.Open)));
    }
}