CA5367: 포인터 필드를 사용하여 형식을 직렬화하지 마세요
| 속성 | 값 |
|---|---|
| 규칙 ID | CA5367 |
| 타이틀 | 포인터 필드를 사용하여 형식을 직렬화하지 마세요. |
| 범주 | 보안 |
| 수정 사항이 주요 변경인지 여부 | 주요 변경 아님 |
| .NET 8에서 기본적으로 사용 | 아니요 |
원인
포인터는 형식이 안전하지 않습니다. 즉, 포인터가 가리키는 메모리의 정확성을 보장할 수 없습니다. 따라서 포인터 필드를 사용하여 형식을 직렬화화면 공격자가 포인터를 제어할 수 있으므로 보안상 위험할 수 있습니다.
규칙 설명
이 규칙은 포인터 필드 또는 속성이 있는 직렬화 가능한 클래스가 있는지를 확인합니다. System.NonSerializedAttribute로 표시된 필드 또는 정적 멤버와 같이 직렬화할 수 없는 멤버는 포인터가 될 수 없습니다.
위반 문제를 해결하는 방법
직렬화 가능 클래스의 멤버에 포인터 형식을 사용하지 않거나 포인터인 멤버를 직렬화하지 마세요.
경고를 표시하지 않는 경우
직렬화 가능 형식에서 포인터를 사용하는 것은 위험하지 않습니다.
의사 코드 예제
위반
using System;
[Serializable()]
unsafe class TestClassA
{
private int* pointer;
}
해결 방법 1
using System;
[Serializable()]
unsafe class TestClassA
{
private int i;
}
해결 방법 2
using System;
[Serializable()]
unsafe class TestClassA
{
private static int* pointer;
}
GitHub에서 Microsoft와 공동 작업
이 콘텐츠의 원본은 GitHub에서 찾을 수 있으며, 여기서 문제와 끌어오기 요청을 만들고 검토할 수도 있습니다. 자세한 내용은 참여자 가이드를 참조하세요.
.NET
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기