4

我有以下代码:

using (FileStream fs = new FileStream(path_to_xml, FileMode.Open))
{
    using (XmlReader xr = XmlReader.Create(fs))
    {
        // Do something with xr
    }
}

我收到警告

CA3075:不接受 XmlReaderSettings 参数的 XmlReader.Create 的不安全重载

如果我更改 Create 语句并添加一个 XmlReaderSettings,如下所示:

using (XmlReader xr = XmlReader.Create(fs, new XmlReaderSettings()))

我收到警告

CA3075:向 XmlReader.Create 方法提供了可能不安全的 XmlReaderSettings 实例。

这个警告的真正原因是什么?让它消失的正确方法是什么?

我正在使用 VS 2019 预览版 1.0

我以前从未见过这个警告,所以也许它是 VS 2019 的新警告?

更新:我已经看过这个页面https://docs.microsoft.com/en-us/visualstudio/code-quality/ca3075-insecure-dtd-processing?view=vs-2017并且大多数解决方案都说要设置'XmlReaderSettings(){ DtdProcessing = DtdProcessing.Prohibit }' 我仍然收到警告。

4

1 回答 1

5

查看警告文档解释了根本原因和许多可能的修复,但归结起来,正在读取的 XML 可能包含对潜在不安全位置的 DTD 引用,并且精心制作的文档可能代表漏洞。从文档:

如果您使用不安全的 DtdProcessing 实例或引用外部实体源,解析器可能会接受不受信任的输入并将敏感信息泄露给攻击者。

问题在于 XmlReader 和 XmlReaderSettings 类的默认设置都允许这种行为。由于默认情况下会出现此问题,因此您需要明确设置为安全选项,最终归结为设置DtdProcessingDtdProcessing.Prohibit或设置XmlResolverXmlSecureResolver.

回到您的代码,可以这样更改:

using (XmlReader xr = XmlReader.Create(fs, new XmlReaderSettings() { DtdProcessing = DtdProcessing.Prohibit }))

或者

using (XmlReader xr = XmlReader.Create(fs, new XmlReaderSettings() { XmlResolver = new XmlSecureResolver() }))
于 2018-12-05T18:08:18.553 回答