So beheben Sie die Deserialisierung nicht vertrauenswürdiger Daten ⇐ C#

[Anonymous]

Ich habe einen generischen Deserialisierungs-C#-Code in meiner Utility-Klasse. Unten finden Sie das Codebeispiel. Als wir einen Sicherheitsscan für unseren Code durchführten, entdeckten wir in Zeile 3 die Schwachstelle „Deserialisierung nicht vertrauenswürdiger Daten“. Die Deserialisierung von XML-Dateien scheint ziemlich häufig vorzukommen. Ich bin mir nicht sicher, wie wir dieses Problem beheben können. Kann mir jemand dabei helfen?

Code: Select all

public static T DeserializeXmlFile(string xmlFilePath)
{

try

{

XmlSerializer xs= GetSerializer(typeof(T));  //Line#1

FileStream fs= new FileStream(xmlFilePath, FileMode.Open); //Line#2

var result = (T)xs.Deserialize(fs); //Line #3

fs.Close(); //Line#4

return result; //Line#5
}
catch (Exception ex)
{
LogException("Deserialization exception");
return default(T);
}
}