类似于“ HttpContext.Current.Session(“ MySessionVar”)=“某些字符串””的代码行导致Fortify SCA引用该行,并说“ ASP.NET:不良做法:会话中存储的不可序列化对象”
显然这是最近添加的内容,因为使用较旧的Fortify规则包和扫描引擎扫描了网络,并且没有导致此问题。
布尔类型不会导致此问题。该项目处于会话状态的唯一其他类型是使用Serializable属性定义的类的对象。
我查看了HP Fortify并堆栈溢出网站,但找不到有关此问题的任何信息。
我不知道字符串和整数不可序列化。所以我的问题是多方面的:
1)这是真的吗?
2)如果为True,会引起问题吗?
3)是的话,如果不为String和Integer创建包装器类,该如何解决?
4)如果不正确,是否有办法告诉Fortify?
这是在VB.Net中。