Compartir vía


CA2326: No usar valores TypeNameHandling que no sean None

Propiedad Value
Identificador de la regla CA2326
Título No usar valores TypeNameHandling que no sean None
Categoría Seguridad
La corrección interrumpe o no interrumpe Poco problemático
Habilitado de forma predeterminada en .NET 9 No

Causa

Esta regla se desencadena cuando se cumple alguna de las condiciones siguientes:

Descripción de la regla

Los deserializadores no seguros son vulnerables al deserializar datos que no son de confianza. Un atacante podría modificar los datos serializados para incluir tipos inesperados a fin de insertar objetos con efectos secundarios malintencionados. Un ataque contra un deserializador inseguro podría, por ejemplo, ejecutar comandos en el sistema operativo subyacente, comunicarse a través de la red o eliminar archivos.

Esta regla busca valores Newtonsoft.Json.TypenameHandling distintos de None. Si solo desea deserializar cuando se especifica Newtonsoft.Json.Serialization.ISerializationBinder para restringir los tipos deserializados, deshabilite esta regla y habilite las reglas CA2327, CA2328, CA2329 y CA2330 en su lugar.

Cómo corregir infracciones

Cuándo suprimir las advertencias

Se puede suprimir una advertencia de esta regla si:

  • Sabe que la entrada es de confianza. Considera que el límite de confianza de la aplicación y los flujos de datos pueden cambiar con el tiempo.
  • Ha tomado una de las precauciones indicadas en Cómo corregir infracciones.

Supresión de una advertencia

Si solo quiere suprimir una única infracción, agregue directivas de preprocesador al archivo de origen para deshabilitar y volver a habilitar la regla.

#pragma warning disable CA2326
// The code that's violating the rule is on this line.
#pragma warning restore CA2326

Para deshabilitar la regla de un archivo, una carpeta o un proyecto, establezca su gravedad en none del archivo de configuración.

[*.{cs,vb}]
dotnet_diagnostic.CA2326.severity = none

Para obtener más información, consulte Procedimiento para suprimir advertencias de análisis de código.

Ejemplos de pseudocódigo

Infracción

using Newtonsoft.Json;

public class ExampleClass
{
    public JsonSerializerSettings Settings { get; }

    public ExampleClass()
    {
        Settings = new JsonSerializerSettings();
        Settings.TypeNameHandling = TypeNameHandling.All;    // CA2326 violation.
    }
}
Imports Newtonsoft.Json

Public Class ExampleClass
    Public ReadOnly Property Settings() As JsonSerializerSettings

    Public Sub New()
        Settings = New JsonSerializerSettings()
        Settings.TypeNameHandling = TypeNameHandling.All    ' CA2326 violation.
    End Sub
End Class

Solución

using Newtonsoft.Json;

public class ExampleClass
{
    public JsonSerializerSettings Settings { get; }

    public ExampleClass()
    {
        Settings = new JsonSerializerSettings();

        // The default value of Settings.TypeNameHandling is TypeNameHandling.None.
    }
}
Imports Newtonsoft.Json

Public Class ExampleClass
    Public ReadOnly Property Settings() As JsonSerializerSettings

    Public Sub New()
        Settings = New JsonSerializerSettings()

        ' The default value of Settings.TypeNameHandling is TypeNameHandling.None.
    End Sub
End Class

CA2327: No usar valores JsonSerializerSettings no seguros

CA2328: Asegurarse de que los valores JsonSerializerSettings sean seguros

CA2329: No deserializar con JsonSerializer y una configuración no segura

CA2330: Asegurarse de que la configuración de JsonSerializer es segura al deserializar