CA2326: None 이외의 TypeNameHandling 값을 사용하지 마세요.
| 속성 | 값 |
|---|---|
| 규칙 ID | CA2326 |
| 제목 | None 이외의 TypeNameHandling 값을 사용하지 마세요. |
| 범주 | 보안 |
| 수정 사항이 주요 변경인지 여부 | 주요 변경 아님 |
| .NET 9에서 기본적으로 사용 | 아니요 |
원인
이 규칙은 다음 조건 중 하나가 충족될 때 발생합니다.
None이 아니라 Newtonsoft.Json.TypeNameHandling 열거형 값이 참조됩니다.- 0이 아닌 값을 나타내는 정수 값이 TypeNameHandling 변수에 할당됩니다.
규칙 설명
안전하지 않은 역직렬 변환기는 신뢰할 수 없는 데이터를 역직렬화할 때 취약합니다. 공격자는 예기치 않은 형식을 포함하도록 직렬화된 데이터를 수정하여 악의적인 부작용을 개체에 주입할 수 있습니다. 예를 들어 안전하지 않은 역직렬 변환기에 대한 공격은 기본 운영 체제에서 명령을 실행하거나, 네트워크를 통해 통신하거나, 파일을 삭제할 수 있습니다.
이 규칙은 None이 아닌 newtonsoft.json. TypeNameHandling 값을 찾습니다. Newtonsoft.Json.Serialization.ISerializationBinder가 역직렬화된 형식을 제한하도록 지정된 경우에만 역직렬화하려면, 이 규칙을 사용하지 않도록 설정하고 규칙 CA2327, CA2328, CA2329, CA2330을 대신 사용하도록 설정합니다.
위반 문제를 해결하는 방법
- 가능하면 TypeNameHandling의
None값을 사용합니다. - 직렬화된 데이터를 변조 방지로 설정합니다. serialization 후에 직렬화된 데이터에 암호화된 방식으로 서명합니다. deserialization 전에 암호화 시그니처의 유효성을 검사합니다. 암호화 키가 공개되지 않도록 보호하고 키 순환을 설계합니다.
- 역직렬화된 형식을 제한합니다. 사용자 지정 Newtonsoft.Json.Serialization.ISerializationBinder를 구현합니다. Json.NET을 사용하여 역직렬화하기 전에 사용자 지정 ISerializationBinder가 Newtonsoft.Json.JsonSerializerSettings.SerializationBinder 속성에 지정되어 있는지 확인합니다. 재정의된 Newtonsoft.Json.Serialization.ISerializationBinder.BindToType 메서드에서 예기치 않은 형식인 경우
null을 반환하거나 예외를 throw하여 deserialization을 중지합니다.- 역직렬화된 형식을 제한하는 경우에는 이 규칙을 사용하지 않도록 설정하고 규칙 CA2327, CA2328, CA2329, CA2330을 사용하도록 설정하는 것이 좋습니다. 규칙 CA2327, CA2328, CA2329 및 CA2330은
None이외의 TypeNameHandling 값을 사용하는 경우 ISerializationBinder를 사용하도록 도와줍니다.
- 역직렬화된 형식을 제한하는 경우에는 이 규칙을 사용하지 않도록 설정하고 규칙 CA2327, CA2328, CA2329, CA2330을 사용하도록 설정하는 것이 좋습니다. 규칙 CA2327, CA2328, CA2329 및 CA2330은
경고를 표시하지 않는 경우
다음 경우에는 이 규칙의 경고를 표시하지 않아도 됩니다.
- 입력을 신뢰할 수 있습니다. 애플리케이션의 트러스트 경계 및 데이터 흐름이 시간이 지남에 따라 달라질 수 있다는 점을 고려합니다.
- 위반 문제를 해결하는 방법의 예방 조치 중 하나를 수행했습니다.
경고 표시 안 함
단일 위반만 표시하지 않으려면 원본 파일에 전처리기 지시문을 추가하여 규칙을 사용하지 않도록 설정한 후 다시 사용하도록 설정합니다.
#pragma warning disable CA2326
// The code that's violating the rule is on this line.
#pragma warning restore CA2326
파일, 폴더 또는 프로젝트에 대한 규칙을 사용하지 않도록 설정하려면 구성 파일에서 심각도를 none으로 설정합니다.
[*.{cs,vb}]
dotnet_diagnostic.CA2326.severity = none
자세한 내용은 방법: 코드 분석 경고 표시 안 함을 참조하세요.
의사 코드 예제
위반
using Newtonsoft.Json;
public class ExampleClass
{
public JsonSerializerSettings Settings { get; }
public ExampleClass()
{
Settings = new JsonSerializerSettings();
Settings.TypeNameHandling = TypeNameHandling.All; // CA2326 violation.
}
}
Imports Newtonsoft.Json
Public Class ExampleClass
Public ReadOnly Property Settings() As JsonSerializerSettings
Public Sub New()
Settings = New JsonSerializerSettings()
Settings.TypeNameHandling = TypeNameHandling.All ' CA2326 violation.
End Sub
End Class
솔루션
using Newtonsoft.Json;
public class ExampleClass
{
public JsonSerializerSettings Settings { get; }
public ExampleClass()
{
Settings = new JsonSerializerSettings();
// The default value of Settings.TypeNameHandling is TypeNameHandling.None.
}
}
Imports Newtonsoft.Json
Public Class ExampleClass
Public ReadOnly Property Settings() As JsonSerializerSettings
Public Sub New()
Settings = New JsonSerializerSettings()
' The default value of Settings.TypeNameHandling is TypeNameHandling.None.
End Sub
End Class
관련 규칙
CA2327: 안전하지 않은 JsonSerializerSettings를 사용하지 마세요.
CA2328: JsonSerializerSettings가 안전한지 확인
GitHub에서 Microsoft와 공동 작업
이 콘텐츠의 원본은 GitHub에서 찾을 수 있으며, 여기서 문제와 끌어오기 요청을 만들고 검토할 수도 있습니다. 자세한 내용은 참여자 가이드를 참조하세요.
.NET