我的实用程序类中有一个通用的反序列化C#代码。下面是代码示例。当我们对代码执行安全扫描时,我们在第3行获得了“不受信任数据的反序列化”漏洞.xml文件的反序列化似乎很常见。我不确定如何解决这个问题。任何人都可以指导我吗?
tty_name此致 NAK
答案 0 :(得分:0)
使用XmlReader进行反序列化,而不是使用FileStream
//第2行
XmlReader xmlreader = XmlReader.Create(new FileStream(xmlFilePath, FileMode.Open));
这是Microsoft解决方案的链接-CA5369: Use XmlReader for Deserialize
这里是二进制反序列化的另一个链接-CA2300: Do not use insecure deserializer BinaryFormatter