c# - "An insecure overload of"警告-6ren

c# - "An insecure overload of"警告

转载作者：行者123 更新时间：2023-12-04 01:49:53

26

4

我有以下代码:

using (FileStream fs = new FileStream(path_to_xml, FileMode.Open))
{
    using (XmlReader xr = XmlReader.Create(fs))
    {
        // Do something with xr
    }
}

我收到警告

CA3075: An insecure overload of XmlReader.Create which does not accept an XmlReaderSettings argument

如果我更改 Create 语句并添加一个 XmlReaderSettings ，如下所示:

using (XmlReader xr = XmlReader.Create(fs, new XmlReaderSettings()))

我收到警告

CA3075: A potentially insecure XmlReaderSettings instance is provided to XmlReader.Create method.

这个警告的实际原因是什么，让它消失的正确方法是什么？

我正在使用 VS 2019 预览版 1.0

我以前从未见过这个警告，所以也许它是 VS 2019 的新功能？

更新:我已经看过这个页面 https://docs.microsoft.com/en-us/visualstudio/code-quality/ca3075-insecure-dtd-processing?view=vs-2017并且大多数解决方案都说要设置 'XmlReaderSettings(){ DtdProcessing = DtdProcessing.Prohibit }' 并且我仍然收到警告。

最佳答案

看着documentation of the warning解释了根本原因和许多可能的修复方法，但归结为正在读取的 XML 可能包含对潜在不安全位置的 DTD 引用，并且精心制作的文档可能代表漏洞。从文档:

If you use insecure DtdProcessing instances or reference external entity sources, the parser may accept untrusted input and disclose sensitive information to attackers.

问题在于 XmlReader 和 XmlReaderSettings 类的默认设置都允许这种行为。由于默认存在此问题，您需要明确设置为安全选项，最终归结为设置 DtdProcessing至 DtdProcessing.Prohibit或 XmlResolver到 XmlSecureResolver .

回到您的代码，它可以更改为:

using (XmlReader xr = XmlReader.Create(fs, new XmlReaderSettings() { DtdProcessing = DtdProcessing.Prohibit }))

或者

using (XmlReader xr = XmlReader.Create(fs, new XmlReaderSettings() { XmlResolver = new XmlSecureResolver() }))

关于c# - "An insecure overload of"警告，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/53637940/

26

4

0

文章推荐： css - 导航菜单项下划线效果

文章推荐： node.js - 如何在 curl 请求中传递 cookie

linux - 警告 : Could not start program with arguments. 警告:执行格式错误
你好，我正在尝试在 opensuse 中创建一个 Shell 脚本来创建 MySqlUsers，但是当我尝试运行它时，我得到了这个错误: Warning: Could not start progra
PHP 警告:DOMDocument::load():I/O 警告:加载外部实体失败
我阅读了有关此错误的所有信息，但未能找到任何解决方案。我有一个看起来像这样的简单页面: $xmlfile = "/var/www/marees.xml"; //Fichier dans lequel
java - Websphere 应用程序服务器 [警告] CWWKC0044W 和 [警告] CWWKC0022W :
运行 Websphere App 服务器 V8.5 Liberty Profile。我找不到任何可以解决这些警告的帮助。我在 eclipse 。 ************** He
python - AppEngine 警告 - OpenBLAS 警告 - 无法确定此系统上的 L2 缓存大小
我尝试在 GC AppEngine 上部署应用程序。部署过程中没有错误，但应用程序无法运行(仅显示加载页面)。日志中唯一一个奇怪的原始 OpenBLAS WARNING - could not det
ios - RestKit 警告 - 警告 : Failed mapping nested object: (null)
我刚开始学习 RestKit。我正在尝试使用它来使用 Foursquare api 获取附近的 field 。但每次我尝试“objectLoader:(RKObjectLoader *)objectL
javascript - [Vue 警告] : $attrs is readonly. [Vue 警告]:$listeners 是只读的
我对 Vuejs 比较陌生，每次按键时都会收到以下警告: [Vue warn]: $attrs is readonly. found in ---> at src\component
php - 警告 : simplexml_load_file() [function. simplexml-load-file]:I/O 警告:加载外部实体失败
Warning: simplexml_load_file() [function.simplexml-load-file]: I/O warning : failed to load external
PHP 错误 -> 警告:mysqli_stmt::execute():无法获取 mysqli_stmt |警告:mysqli_stmt::close()
我在尝试修改某些表时不断收到此错误。这是我的代码: /** = 1){ //$this->mysqli->autocommit(FALSE); //insert th
PHP ftp_put 警告警告 : ftp_put() [function. ftp-put] : Type set to I. in
当我尝试使用 PHP 的 ftp_put 函数上传文件时，早些时候出现错误: 警告:ftp_put() [function.ftp-put]:无数据连接现在，我尝试开启被动模式: ftp_pasv(
java - ArrayList 警告 - 警告 : [unchecked] unchecked call to add(E), 文件也不会运行
我一直在努力让这段代码适用于现阶段的年龄。它旨在计算一个范围内的素数，我已经编写了一种方法来打印它们。不幸的是，代码将无法编译，引用警告: “警告:[未检查] 未检查调用 add(E) 作为原始类型
android - 警告:警告:注释处理器 'RELEASE_7'支持的源版本 'android.arch.lifecycle.LifecycleProcessor'小于-source '1.8'
尝试使用带有架构组件和Kotlin的Android Studio 3 Canary 5构建示例会给出此警告。谁能告诉我原因？谢谢，Ove 编辑＃1: 这是Dan Lew前段时间制作的样本 http
R Shiny 的 widgetFunc() 警告消息，带有 eventReactive(警告 1) 和 renderDataTable (警告 2)
我正在编写一个 Shiny 的应用程序，它运行得非常好，突然我收到两条警告消息。我已经回到以前运行良好的副本，它们现在显示相同的错误消息，所以我真的很困惑。我的代码仍然运行并在我 Shiny 的仪表板
Android MediaPlayer 信息/警告 (703, 0) 信息/警告 (701, 0) 慢速 wifi 或数据连接
03-25 05:52:15.329 8029-8042/com.mgh.radio W/MediaPlayerNative: info/warning (703, 0) 03-25 05:52:15
android-gradle-plugin - 警告 : [options] bootstrap class path not set in conjunction with -source 1. 7 1 警告
我在构建时在我的 gradle 控制台中收到一条警告消息: 警告:[options] 引导类路径未与 -source 1.7 一起设置 1 条警告我怎样才能解决这个问题？任何帮助表示赞赏! 最佳答
编译器不会在函数参数不匹配时发出错误/警告
我有下一个代码: 测试.c #include "a1.h" int main() { int a = 8; foo(a); return a; } a1.h void foo
数据比较的C++警告
我的程序中有一个 WORD 变量。 WORD hour; 但是当我比较它的时候 if(hour>=0 && hour=0 && hour=0 的比较，它始终适用于 hour 是 WORD 类型，它是一
警告！与Log4Shell相似的Java漏洞出现了
安全研究人员警告称，一个最新的严重的Java错误，其本质与目前在全球范围内利用的臭名昭著的 Log4Shell 漏洞相同。 CVE-2021-42392 尚未在国家漏洞数据库 (NVD) 中
安装SqlServer2005时版本变更检查 (警告)
安装SqlServer2005时“版本变更检查 (警告)"问题排查今天同事在安装SqlServer2005时遇到“版本变更检查 (警告) ”问题导致安装失败，警告提示如下： - 版本
c# - APPX4001 警告
我的 UWP 项目中出现以下警告。我已经标记了解决方案的示例，但我更感兴趣的是为什么在同一平台上创建另一个空项目时不会出现此警告？ APPX4001: Build property AppxBundl
php - 警告 : session_destroy()?
我试图修复我的登录脚本，在我的本地主机上它可以工作，但上传到我的在线测试服务器时，注销被破坏，我得到这个错误: Warning: session_destroy() [function.session

首页

博学

6Ren·AI

商城

c# - "An insecure overload of"警告