如何安全处理C#中JSON反序列化时的null字段以避免NullReferenceException

1. 问题背景与常见场景分析

在使用C#进行JSON反序列化操作时，JsonConvert.DeserializeObject<T> 是 Newtonsoft.Json 提供的核心方法。当目标类型 T 中包含引用类型的属性（如 string、class 类型等），而 JSON 字符串中对应字段为 null 时，若未启用可空引用类型（Nullable Reference Types）或未提供默认值，极易触发 NullReferenceException。

例如以下代码：

public class User
{
    public string Name { get; set; } // 非可空引用类型（NRT未启用）
}

string json = "{\"Name\": null}";
var user = JsonConvert.DeserializeObject<User>(json);
Console.WriteLine(user.Name.ToUpper()); // 运行时抛出 NullReferenceException
    

此问题在微服务通信、API 接口调用、配置文件加载等场景中尤为常见，尤其当后端返回数据结构不稳定或前端传参不完整时。

2. 可空引用类型（NRT）的引入与作用

C# 8.0 引入了可空引用类型（Nullable Reference Types），允许开发者显式标注引用类型是否可为空，从而在编译期提示潜在的 null 访问风险。

启用 NRT 需在项目文件中添加：

<PropertyGroup>
  <Nullable>enable</Nullable>
</PropertyGroup>

修改类定义如下：

public class User
{
    public string? Name { get; set; } // 显式声明可为空
}

此时编译器会在你直接调用 user.Name.ToUpper() 时发出警告，促使你进行 null 检查。

3. 反序列化过程中的null处理策略

即便启用了 NRT，反序列化仍可能将 null 赋给非可空属性，除非配置序列化行为。Newtonsoft.Json 提供多种方式控制 null 处理：

• 全局设置忽略 null 值：

• JsonConvert.DefaultSettings = () => new JsonSerializerSettings
  {
      NullValueHandling = NullValueHandling.Ignore
  };

• 属性级忽略 null：

• public class User
  {
      [JsonProperty(NullValueHandling = NullValueHandling.Ignore)]
      public string Name { get; set; }
  }

4. 默认值初始化与构造函数防御

为防止属性为 null，可在构造函数或属性初始化器中设置默认值：

public class User
{
    public User()
    {
        Name = string.Empty;
    }

    public string Name { get; set; }
}

或使用 C# 6+ 的属性初始化语法：

public string Name { get; set; } = string.Empty;

这种方式确保即使 JSON 中字段为 null 或缺失，属性也不会为 null。

5. 自定义 JsonConverter 实现精细控制

对于复杂逻辑，可实现自定义 JsonConverter：

public class StringEmptyWhenNullConverter : JsonConverter<string>
{
    public override string ReadJson(JsonReader reader, Type objectType, string existingValue, bool hasExistingValue, JsonSerializer serializer)
    {
        return reader.Value?.ToString() ?? string.Empty;
    }

    public override void WriteJson(JsonWriter writer, string value, JsonSerializer serializer)
    {
        writer.WriteValue(value);
    }
}

然后应用于属性：

[JsonConverter(typeof(StringEmptyWhenNullConverter))]
public string Name { get; set; }

6. 使用 System.Text.Json 的现代替代方案

.NET Core 3.0+ 推出的 System.Text.Json 在设计上更注重安全性。其默认行为对 null 更加宽容，并支持源生成器提升性能。

示例：

var options = new JsonSerializerOptions
{
    DefaultIgnoreCondition = JsonIgnoreCondition.WhenWritingNull
};
var user = JsonSerializer.Deserialize<User>(json, options);

结合源生成器（Source Generator）可实现编译时验证，进一步降低运行时错误风险。

7. 综合解决方案对比表

方案	优点	缺点	适用场景
启用 NRT	编译期预警	不阻止运行时 null 赋值	所有新项目
默认值初始化	简单可靠	需手动维护	小型对象模型
JsonProperty + NullValueHandling	灵活控制序列化行为	依赖 Newtonsoft.Json	遗留系统迁移
自定义 JsonConverter	高度定制化	开发成本高	统一字符串/集合处理
System.Text.Json + 源生成	高性能、类型安全	生态尚在完善	.NET 6+ 新项目

8. 异常处理与日志监控流程图

即使做了预防，仍建议加入运行时防护。以下是推荐的异常处理流程：

graph TD
    A[接收JSON字符串] --> B{是否有效JSON?}
    B -- 否 --> C[记录日志并返回错误]
    B -- 是 --> D[尝试反序列化]
    D --> E{成功?}
    E -- 否 --> F[捕获JsonSerializationException]
    F --> G[记录结构错误]
    E -- 是 --> H[执行null检查]
    H --> I{存在null属性?}
    I -- 是 --> J[使用默认值或抛出业务异常]
    I -- 否 --> K[正常处理业务逻辑]
    

9. 最佳实践总结清单

1. 在项目中启用 <Nullable>enable</Nullable>
2. 优先使用属性初始化设置默认值（如 string.Empty）
3. 对关键接口输入使用自定义转换器统一处理 null
4. 考虑迁移到 System.Text.Json 以获得更好的性能和类型安全
5. 在反序列化后添加单元测试验证 null 场景
6. 使用 AOP 或中间件对 API 输入做预校验
7. 建立团队编码规范，禁止直接访问可能为 null 的引用属性
8. 结合静态分析工具（如 ReSharper、Roslyn Analyzer）增强 null 检查
9. 在日志中记录反序列化失败的具体字段和值
10. 定期审查第三方接口契约，更新 DTO 模型

10. 结语：构建健壮的数据交换体系

JSON 反序列化的 null 安全性不仅是语言特性问题，更是系统可靠性工程的一部分。从编译期预警到运行时防护，再到架构层的契约管理，需要多层次协同设计。随着 .NET 生态的发展，特别是源生成器与不可变类型的普及，未来我们将能更优雅地解决此类问题。