Nota
L'accés a aquesta pàgina requereix autorització. Podeu provar d'iniciar la sessió o de canviar els directoris.
L'accés a aquesta pàgina requereix autorització. Podeu provar de canviar els directoris.
| Propiedad | Valor |
|---|---|
| Identificador de la regla | CA2326 |
| Título | No usar valores TypeNameHandling que no sean None |
| Categoría | Seguridad |
| El arreglo es problemático o no problemático | Sin interrupción |
| Habilitado de forma predeterminada en .NET 10 | No |
| Idiomas aplicables | C# y Visual Basic |
Causa
Esta regla se desencadena cuando se cumple alguna de las siguientes condiciones:
- Se hace referencia a un valor de enumeración Newtonsoft.Json.TypeNameHandling distinto de
None. - Se asigna un valor entero que representa un valor distinto de cero a una variable TypeNameHandling.
Descripción de la regla
Los deserializadores no seguros son vulnerables al deserializar datos que no son de confianza. Un atacante podría modificar los datos serializados para incluir tipos inesperados a fin de insertar objetos con efectos secundarios malintencionados. Un ataque contra un deserializador inseguro podría, por ejemplo, ejecutar comandos en el sistema operativo subyacente, comunicarse a través de la red o eliminar archivos.
Esta regla busca valores Newtonsoft.Json.TypenameHandling distintos de None. Si solo desea deserializar cuando se especifica Newtonsoft.Json.Serialization.ISerializationBinder para restringir los tipos deserializados, deshabilite esta regla y habilite las reglas CA2327, CA2328, CA2329 y CA2330 en su lugar.
Cómo corregir infracciones
- Use el valor de TypeNameHandling
None, si es posible. - Proteja los datos serializados contra alteraciones. Después de la serialización, firme criptográficamente los datos serializados. Antes de la deserialización, valide la firma criptográfica. Proteja la clave criptográfica para que no se revele y diseñe las rotaciones de clave.
- Restrinja los tipos deserializados. Implemente un Newtonsoft.Json.Serialization.ISerializationBinder personalizado. Antes de deserializar con Json.NET, asegúrese de que el ISerializationBinder personalizado se haya especificado en la propiedad Newtonsoft.Json.JsonSerializerSettings.SerializationBinder. En el método Newtonsoft.Json.Serialization.ISerializationBinder.BindToType sobrescrito, si el tipo es inesperado, devuelve
nullo lanza una excepción para detener la deserialización.- Si restringe los tipos deserializados, puede que quiera deshabilitar esta regla y habilitar las reglas CA2327, CA2328, CA2329 y CA2330. Las reglas CA2327, CA2328, CA2329 y CA2330 ayudan a garantizar el uso de un ISerializationBinder al usar valores de TypeNameHandling distintos de
None.
- Si restringe los tipos deserializados, puede que quiera deshabilitar esta regla y habilitar las reglas CA2327, CA2328, CA2329 y CA2330. Las reglas CA2327, CA2328, CA2329 y CA2330 ayudan a garantizar el uso de un ISerializationBinder al usar valores de TypeNameHandling distintos de
Cuándo suprimir las advertencias
Se puede suprimir una advertencia de esta regla si:
- Sabes que la entrada es de confianza. Considera que el límite de confianza de la aplicación y los flujos de datos pueden cambiar con el tiempo.
- Ha tomado una de las precauciones indicadas en Cómo corregir infracciones.
Supresión de una advertencia
Si solo quiere suprimir una única infracción, agregue directivas de preprocesador al archivo de origen para deshabilitar y volver a habilitar la regla.
#pragma warning disable CA2326
// The code that's violating the rule is on this line.
#pragma warning restore CA2326
Para deshabilitar la regla de un archivo, una carpeta o un proyecto, establezca su gravedad en none del archivo de configuración.
[*.{cs,vb}]
dotnet_diagnostic.CA2326.severity = none
Para obtener más información, consulte Procedimiento para suprimir advertencias de análisis de código.
Ejemplos de pseudocódigo
Infracción
using Newtonsoft.Json;
public class ExampleClass
{
public JsonSerializerSettings Settings { get; }
public ExampleClass()
{
Settings = new JsonSerializerSettings();
Settings.TypeNameHandling = TypeNameHandling.All; // CA2326 violation.
}
}
Imports Newtonsoft.Json
Public Class ExampleClass
Public ReadOnly Property Settings() As JsonSerializerSettings
Public Sub New()
Settings = New JsonSerializerSettings()
Settings.TypeNameHandling = TypeNameHandling.All ' CA2326 violation.
End Sub
End Class
Solución
using Newtonsoft.Json;
public class ExampleClass
{
public JsonSerializerSettings Settings { get; }
public ExampleClass()
{
Settings = new JsonSerializerSettings();
// The default value of Settings.TypeNameHandling is TypeNameHandling.None.
}
}
Imports Newtonsoft.Json
Public Class ExampleClass
Public ReadOnly Property Settings() As JsonSerializerSettings
Public Sub New()
Settings = New JsonSerializerSettings()
' The default value of Settings.TypeNameHandling is TypeNameHandling.None.
End Sub
End Class
Reglas relacionadas
CA2327: No utilizar configuraciones JsonSerializerSettings inseguras
CA2328: Asegúrese de que las configuraciones de JsonSerializerSettings sean seguras
CA2329: No deserializar con JsonSerializer utilizando una configuración insegura
CA2330: Asegurarse de que la configuración de JsonSerializer es segura al deserializar
Col·laboreu amb nosaltres a GitHub
La font d'aquest contingut es pot trobar al GitHub, on també podeu crear i revisar problemes i sol·licituds d'extracció. Per obtenir més informació, consulteu la nostra guia per a col·laboradors.
