我正在准备MCTS考试70-536并阅读"MCTS自学培训套件考试70 536微软网络框架应用程序开发基础第二版"一书
在第5章 - 序列化中,下面是困扰我的陈述.
您必须在序列化构造函数中执行数据验证,如果提供了无效数据,则抛出SerializationException.风险在于攻击者可以使用您的类,但提供虚假的序列化信息以试图利用弱点.
我理解数据验证但无法理解攻击者如何提供虚假的序列化信息.我想从一个例子(代码或概念)中了解这一点.我搜索了网络,但无法想出任何东西.
c# serialization
c# ×1
serialization ×1