HTTP 警告在 `dotnet package list` 和 `dotnet package search` 中提升为错误

2025-05-13

从 .NET 10 预览版 4 开始，生成的 dotnet package listdotnet package searchHTTP 警告以及相关的 API 现在默认被视为错误。

已引入的版本

.NET 10 预览版 4

以前的行为

以前，使用 HTTP 源时，工具会显示警告，例如：

You are running the 'list package' operation with an 'HTTP' source, 'http://api.source/index.json'. Non-HTTPS access will be removed in a future version. Consider migrating to an 'HTTPS' source.

操作持续进行，没有中断。

新行为

默认情况下，这些工具将 HTTP 源视为错误。若要允许 HTTP 源，请显式设置 allowInsecureConnections="true" 在nuget.config中。

破坏性变更的类型

这是行为变化。

更改原因

默认情况下，此更改通过阻止不安全的 HTTP 源来提高安全性。它与默认安全做法保持一致，以保护用户免受潜在漏洞的危害。

建议的措施

迁移到 HTTPS 源以避免错误。若要继续使用 HTTP 源，请更新 nuget.config 文件以包含以下设置：

<add key="allowInsecureConnections" value="true" />

受影响的 API

dotnet package list
dotnet package search
NuGet.Protocol.Core.Types.PackageUpdateResource.PushAsync
NuGet.Protocol.Core.Types.PackageUpdateResource.Delete

反馈

此页面是否有帮助？