CA2356: небезопасный тип DataSet или DataTable в графе объектов с десериализацией в интернете
| Свойство | Значение |
|---|---|
| Идентификатор правила | CA2356 |
| Заголовок | Ненадежные данные DataSet или DataTable в графе десериализованных веб-объектов |
| Категория | Безопасность |
| Исправление является критическим или не критическим | Не критическое |
| Включен по умолчанию в .NET 9 | No |
Причина
Метод с System.Web.Services.WebMethodAttribute или System.ServiceModel.OperationContractAttribute имеет параметр, который может ссылаться на DataSet или DataTable.
Это правило использует другой подход к аналогичному правилу, CA2355: ненадежные данные DataSet или DataTable в графе десериализованных объектов и будет находить другие предупреждения.
Описание правила
В случае десериализации ненадежных входных данных и если граф десериализованных объектов содержит DataSet или DataTable, злоумышленник может создавать вредоносные данные для проведения атаки типа "отказ в обслуживании". Могут существовать неизвестные уязвимости удаленного выполнения кода.
Дополнительные сведения см. в статье Руководство по безопасности для DataSet и DataTable.
Устранение нарушений
- По возможности используйте Entity Framework, а не DataSet и DataTable.
- Примените к сериализованным данным защиту от несанкционированных изменений. После сериализации криптографически подпишите сериализованные данные. Перед десериализацией проверьте криптографическую подпись. Защитите криптографический ключ от раскрытия и реализуйте регулярную смену ключей.
Когда лучше отключить предупреждения
Можно отключить вывод предупреждений для этого правила в следующих случаях:
- Вам известно, что входные данные являются доверенными. Учитывайте, что со временем могут измениться как границы доверия, так и потоки данных приложения.
- Вы выполнили одну из мер предосторожности из раздела Устранение нарушений.
Отключение предупреждений
Если вы просто хотите отключить одно нарушение, добавьте директивы препроцессора в исходный файл, чтобы отключить и повторно включить правило.
#pragma warning disable CA2356
// The code that's violating the rule is on this line.
#pragma warning restore CA2356
Чтобы отключить правило для файла, папки или проекта, задайте его серьезность none в файле конфигурации.
[*.{cs,vb}]
dotnet_diagnostic.CA2356.severity = none
Дополнительные сведения см. в разделе Практическое руководство. Скрытие предупреждений анализа кода.
Примеры псевдокода
Нарушение
using System;
using System.Data;
using System.Web.Services;
[WebService(Namespace = "http://contoso.example.com/")]
public class MyService : WebService
{
[WebMethod]
public string MyWebMethod(DataTable dataTable)
{
return null;
}
}
Связанные правила
CA2350: убедитесь, что входные данные DataTable.ReadXml()являются доверенными
CA2351: убедитесь, что входные данные DataSet.ReadXml()являются доверенными
CA2353: небезопасный набор данных или DataTable в сериализуемом типе
CA2355: небезопасный набор данных или DataTable в графе десериализированных объектов
CA2361: убедитесь, что входные данные DataSet.ReadXml() являются доверенными
