“不安全的过载”警告

Question

我有以下代码：

using (FileStream fs = new FileStream(path_to_xml, FileMode.Open))
{
    using (XmlReader xr = XmlReader.Create(fs))
    {
        // Do something with xr
    }
}

我收到警告

CA3075：XmlReader.Create 的不安全重载不接受 一个 XmlReaderSettings 参数

如果我更改 Create 语句并像这样添加 XmlReaderSettings：

using (XmlReader xr = XmlReader.Create(fs, new XmlReaderSettings()))

我收到警告

CA3075：提供了可能不安全的 XmlReaderSettings 实例 到 XmlReader.Create 方法。

这个警告的真正原因是什么？让它消失的正确方法是什么？

我正在使用 VS 2019 Preview 1.0

我以前从未见过这个警告，所以也许它是 VS 2019 的新警告？

更新：我已经查看了此页面 https://docs.microsoft.com/en-us/visualstudio/code-quality/ca3075-insecure-dtd-processing?view=vs-2017，并且大多数解决方案都说要设置 'XmlReaderSettings(){ DtdProcessing = DtdProcessing.Prohibit }'，但我仍然收到警告。

Answer 1

查看documentation of the warning 解释了根本原因和许多可能的修复，但归结起来，正在读取的 XML 可能包含对潜在不安全位置的 DTD 引用，并且精心制作的文档可能代表漏洞。来自文档：

如果您使用不安全的 DtdProcessing 实例或引用外部实体源，解析器可能会接受不受信任的输入并将敏感信息泄露给攻击者。

问题在于 XmlReader 和 XmlReaderSettings 类的默认设置都允许这种行为。由于默认设置会出现此问题，您需要明确设置为安全选项，最终归结为将DtdProcessing 设置为DtdProcessing.Prohibit 或XmlResolver 设置为XmlSecureResolver。

回到你的代码，可以这样修改：

using (XmlReader xr = XmlReader.Create(fs, new XmlReaderSettings() { DtdProcessing = DtdProcessing.Prohibit }))

或

using (XmlReader xr = XmlReader.Create(fs, new XmlReaderSettings() { XmlResolver = new XmlSecureResolver() }))