hp fortify向我展示了以下代码上的XML外部实体注入:
StringBuilder sb = new StringBuilder();
StringWriter stringWriter = new StringWriter(sb);
xmlSerializer.Serialize(stringWriter, o);
XmlDocument xmlDoc = new XmlDocument();
xmlDoc.LoadXml(stringWriter.ToString()); //bad code
result = xmlDoc.ChildNodes[1].OuterXml;
在上面的代码中,它在以下行
xmlDoc.LoadXml(stringWriter.ToString());中显示了该漏洞我该如何解决这种情况?
最佳答案
使用xmlDoc.XmlResolver = null;加载xml之前。
关于c# - 惠普加强XML外部实体注入(inject),我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/42125189/