MVC中的SecureString

Question

我的模型是这样的：

public string Password { get; set; }

我在repository.cs中使用它，如下所示：

   string somePass= user.pass
                        if (somePass== pass)
                        {
                            return user;
                        }

在安全扫描中，这似乎是一个堆检查问题。它建议使用“安全字符串”，但当我在模型类中将Password参数定义为SecureString并更改我的repository.cs时，我得到了错误消息。

我如何防止这成为一个安全问题？

Answer 1

它似乎指的是安全字符串类：https://msdn.microsoft.com/es-es/library/system.security.securestring(v=vs.110).aspx

长话短说。一旦不再需要安全字符串，它就会从内存中删除它的值。我从未使用过fortify，但由于您的变量名引用的是密码，我猜fortify会将其视为一个漏洞，因为密码是机密信息，一旦您使用完它，就没有理由将其保存在内存中。