CA2356: tipos DataSet ou DataTable não seguros no grafo de objetos desserializados da Web
| Property | Valor |
|---|---|
| ID da regra | CA2356 |
| Título | tipos DataSet ou DataTable não seguros no grafo de objetos desserializados da Web |
| Categoria | Segurança |
| Correção interruptiva ou sem interrupção | Sem interrupção |
| Habilitado por padrão no .NET 9 | Não |
Causa
Um método com System.Web.Services.WebMethodAttribute ou System.ServiceModel.OperationContractAttribute tem um parâmetro que pode referenciar DataSet ou DataTable.
Essa regra usa uma abordagem diferente para uma regra semelhante, CA2355: DataSet ou DataTable não seguro no grafo de objeto desserializado e encontrará avisos diferentes.
Descrição da regra
Desserialização de uma entrada não confiável, em que o grafo de objetos desserializados contém DataSet ou DataTable e um invasor pode criar um conteúdo mal-intencionado para executar um ataque de negação de serviço. Pode haver vulnerabilidades desconhecidas de execução de código remoto.
Para obter mais informações, consulte Diretrizes de segurança de DataSet e DataTable.
Como corrigir violações
- Se possível, use o Entity Framework em vez de DataSet e DataTable.
- Torne os dados serializados à prova de adulteração. Após a serialização, assine criptograficamente os dados serializados. Antes da desserialização, valide a assinatura criptográfica. Proteja a chave criptográfica para impedir que ela seja divulgada e projete rotações de chave.
Quando suprimir avisos
É seguro suprimir um aviso dessa regra se:
- Você souber que a entrada é confiável. Considere que o limite de confiança do seu aplicativo e os fluxos de dados podem ser alterados ao longo do tempo.
- Você tiver tomado uma das precauções descritas em Como corrigir violações.
Suprimir um aviso
Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.
#pragma warning disable CA2356
// The code that's violating the rule is on this line.
#pragma warning restore CA2356
Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none no arquivo de configuração.
[*.{cs,vb}]
dotnet_diagnostic.CA2356.severity = none
Para obter mais informações, confira Como suprimir avisos de análise de código.
Exemplos de pseudocódigo
Violação
using System;
using System.Data;
using System.Web.Services;
[WebService(Namespace = "http://contoso.example.com/")]
public class MyService : WebService
{
[WebMethod]
public string MyWebMethod(DataTable dataTable)
{
return null;
}
}
Regras relacionadas
CA2350: verifique se a entrada do DataTable.ReadXml() é confiável
CA2351: verifique se a entrada do DataSet.ReadXml() é confiável
CA2353: DataSet ou DataTable não seguros no tipo serializável
CA2355: DataSet ou DataTable não seguros no grafo de objetos desserializados
CA2361: verifique se a entrada do DataSet.ReadXml() é confiável
