Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
| Eigenschaft | Wert |
|---|---|
| Regel-ID | CA5362 |
| Titel | Potenzieller Verweiszyklus in deserialisiertem Objektgraph |
| Kategorie | Security |
| Fix führt zu Unterbrechungen oder bleibt funktionsfähig | Untrennbar |
| Standardmäßig in .NET 10 aktiviert | Nein |
| Anwendbare Sprachen | C# und Visual Basic |
Ursache
Eine Klasse, die mit System.SerializableAttribute gekennzeichnet ist, verfügt über ein Feld oder eine Eigenschaft und verweist möglicherweise direkt oder indirekt auf das darin enthaltene Objekt, sodass es zu einem Verweiszyklus kommen kann.
Regelbeschreibung
Wenn nicht vertrauenswürdige Daten deserialisiert werden, muss jeder Code, der den deserialisierten Objektgraphen verarbeitet, Verweiszyklen handhaben, ohne in eine Endlosschleife zu geraten. Dies betrifft sowohl Code, der zu einem Deserialisierungsrückruf gehört, als auch Code, der den Objektgraph nach Abschluss der Deserialisierung verarbeitet. Andernfalls könnte ein Angreifer einen Denial-of-Service-Angriff mit schädlichen Daten durchführen, die einen Verweiszyklus enthalten.
Diese Regel bedeutet nicht notwendigerweise, dass ein Sicherheitsrisiko vorliegt, sondern kennzeichnet nur potenzielle Verweiszyklen in deserialisierten Objektgraphen.
So beheben Sie Verstöße
Serialisieren Sie die Klasse nicht, und entfernen Sie SerializableAttribute. Oder gestalten Sie Ihre Anwendung so um, dass die sich selbst referenzierenden Member aus der serialisierbaren Klasse entfernt werden können.
Wann sollten Warnungen unterdrückt werden?
Eine Warnung aus dieser Regel kann sicher unterdrückt werden, wenn Folgendes gilt:
- Sie wissen, dass die Eingabe vertrauenswürdig ist. Berücksichtigen Sie, dass sich die Vertrauensstellungsgrenze und Datenflüsse Ihrer Anwendung im Laufe der Zeit ändern können.
- Sämtlicher Code, der die deserialisierten Daten verarbeitet, erkennt und handhabt Verweiszyklen, ohne in eine Endlosschleife zu geraten oder übermäßig viele Ressourcen zu verwenden.
Unterdrücken einer Warnung
Um nur eine einzelne Verletzung zu unterdrücken, fügen Sie der Quelldatei Präprozessoranweisungen hinzu, um die Regel zu deaktivieren und dann wieder zu aktivieren.
#pragma warning disable CA5362
// The code that's violating the rule is on this line.
#pragma warning restore CA5362
Um die Regel für eine Datei, einen Ordner oder ein Projekt zu deaktivieren, legen Sie den Schweregrad auf none in der Konfigurationsdatei fest.
[*.{cs,vb}]
dotnet_diagnostic.CA5362.severity = none
Weitere Informationen finden Sie unter Vorgehensweise: Unterdrücken von Codeanalyse-Warnungen.
Pseudocodebeispiele
Potenzieller Verstoß gegen Referenzzyklen
using System;
[Serializable()]
class ExampleClass
{
public ExampleClass ExampleProperty {get; set;}
public int NormalProperty {get; set;}
}
class AnotherClass
{
// The argument passed by could be `JsonConvert.DeserializeObject<ExampleClass>(untrustedData)`.
public void AnotherMethod(ExampleClass ec)
{
while(ec != null)
{
Console.WriteLine(ec.ToString());
ec = ec.ExampleProperty;
}
}
}
Lösung
using System;
[Serializable()]
class ExampleClass
{
[NonSerialized]
public ExampleClass ExampleProperty {get; set;}
public int NormalProperty {get; set;}
}
class AnotherClass
{
// The argument passed by could be `JsonConvert.DeserializeObject<ExampleClass>(untrustedData)`.
public void AnotherMethod(ExampleClass ec)
{
while(ec != null)
{
Console.WriteLine(ec.ToString());
ec = ec.ExampleProperty;
}
}
}
Zusammenarbeit auf GitHub
Die Quelle für diesen Inhalt finden Sie auf GitHub, wo Sie auch Issues und Pull Requests erstellen und überprüfen können. Weitere Informationen finden Sie in unserem Leitfaden für Mitwirkende.
