浅析C# Xml Serializer的安全隐患

C# XmlSerializer使用注意事项是什么呢？我们在实际的操作中要注意保护C# XmlSerializer应用程序，那是为什么呢？下面我们详细的来讲解下。在创建呵和使用C# XmlSerializer的应用程序时，您应当注意什么？

C# XmlSerializer注意事项1、C# XmlSerializer创建 C# 文件 (.cs 文件)的过程。

这个过程C# XmlSerializer创建完文件并将其编译成 .dll 文件，这些 .dll 文件位于由 TEMP 环境变量指定的目录中；这些 DLL 文件将发生序列化。

代码和 DLL 在创建和进行编译时，易于遭受恶意进程的攻击。如果所使用的计算机运行的是 Microsoft Windows NT 4.0 或更高版本，则有可能会有两个或更多用户共享临时目录。

如果同时存在以下两种情况，则共享临时目录是有危险性的：(1) 两个帐户有不同的安全特权；(2) 具有较高特权的帐户运行一个使用 XmlSerializer 的应用程序。在这种情况下，某一用户可以替换所编译的 .cs 或 .dll 文件，由此破坏计算机的安全性。为了避免发生这一问题，请始终确保计算机上的每一帐户都有自己的配置文件。如果能够保证这一点的话，默认情况下，TEMP 环境变量就会为不同的帐户指定不同的目录。

如果一名恶意用户向 Web 服务器发送持续的 XML 数据流（拒绝服务攻击），XmlSerializer 会一直处理这一数据，直到计算机资源不够用才停止。
如果您所使用的计算机运行 Internet 信息服务 (IIS)，并且您的应用程序是在 IIS 下运行，就可以避免这类攻击。IIS 带有一个控制门，用于禁止处理大于设定数量（默认值是 4 KB）的数据流。如果您所创建的应用程序不使用 IIS，同时该应用程序使用 XmlSerializer 进行反序列化，则应该实现一个类似的控制门，以阻止拒绝服务攻击。

C# XmlSerializer注意事项2、XmlSerializer 将使用给予它的任何类型，对数据进行序列化，并运行任何代码。

恶意对象施加威胁的方式有两种。一种是运行恶意代码，另一种是将恶意代码插入到由 XmlSerializer 创建的 C# 文件中。在第一种情况下，如果恶意对象试图运行破坏性过程，代码访问安全性将帮助防止发生任何破坏。在第二种情况下，在理论上，恶意对象有可能会以某种方式将代码插入到由 XmlSerializer 创建的 C# 文件中。尽管对这一问题已进行了彻底的检验，而且这类攻击被认为是不可能的，但您还是应该小心一些，一定不要序列化那些不可信的未知类型的数据。

C# XmlSerializer注意事项3、已序列化的重要数据可能易于遭到攻击。