


Externe JSON-Offenlegung: Die Risiken der TypeNameHandling mit Json.Net verstehen
JSON-Deserialisierung mit automatischer Typverarbeitung kann Sicherheitsrisiken darstellen. Ziel dieses Artikels ist es, die potenziellen Schwachstellen bei der Verwendung von TypeNameHandling mit auf „Auto“ eingestellten Einstellungen in Json.Net zu klären.
Grundlegendes zu TypeNameHandling in Json.Net
TypeNameHandling steuert, wie JSON. Net deserialisiert Typen mit „$type“-Eigenschaften, die den vollständig qualifizierten Namen des zu instanziierenden Typs angeben. Bei der Einstellung „Auto“ versucht Json.Net, den angegebenen Typ aufzulösen und eine Instanz zu erstellen.
Potenzielle Gefahren
Ohne unmittelbare Objekte oder dynamische Mitglieder in Ihrem Datenmodell, Sie können davon ausgehen, dass Sie vor Deserialisierungsangriffen geschützt sind. Bestimmte Szenarien können jedoch immer noch Risiken mit sich bringen:
- Untypisierte Sammlungen: Deserialisieren untypisierter Sammlungen wie ArrayList oder List
- CollectionBase: Von CollectionBase geerbte Typen ermöglichen die Elementvalidierung zur Laufzeit und schaffen so eine potenzielle Lücke für die Konstruktion von Angriffs-Gadgets.
- Gemeinsame Basistypen: Polymorphe Werte mit Basistypen oder Schnittstellen, die von Angriffsgeräten gemeinsam genutzt werden, sind anfällig für Deserialisierung Angriffe.
- ISerializable-Typen: Typen, die ISerializable implementieren, können nicht typisierte Mitglieder deserialisieren, einschließlich des Exception.Data-Wörterbuchs.
- Bedingte Serialisierung: Mitglieder, die als markiert sind Nicht über ShouldSerialize-Methoden serialisierte Methoden können weiterhin deserialisiert werden, wenn sie in JSON vorhanden sind Eingabe.
Abhilfemaßnahmen
Um die Sicherheit zu erhöhen, berücksichtigen Sie Folgendes:
- Benutzerdefinierter Serialisierungsbinder: Implementieren Sie einen benutzerdefinierten SerializationBinder, um erwartete Typen zu validieren und die Deserialisierung unerwarteter Typen zu verhindern Typen.
- TypeNameHandling.None: Erwägen Sie, TypeNameHandling auf None zu setzen, wodurch die Typauflösung während der Deserialisierung effektiv deaktiviert wird.
- Warnung bei unerwarteter/versteckter Eingabe: Achten Sie auf untypisierte Mitglieder oder verstecktes Serialisierungsverhalten in Ihren Daten Modell.
- Standardserialisierungsvertrag deaktivieren: Vermeiden Sie es, DefaultContractResolver.IgnoreSerializableInterface oder DefaultContractResolver.IgnoreSerializableAttribute auf false zu setzen.
Fazit
Während bestimmte Mechanismen in Json.Net dazu beitragen, Schwachstellen zu mindern, ist es wichtig, die potenziellen Risiken, die TypeNameHandling bei der externen JSON-Deserialisierung mit sich bringt, sorgfältig abzuwägen. Indem Sie die empfohlenen Vorsichtsmaßnahmen befolgen, wie z. B. die Implementierung eines benutzerdefinierten SerializationBinder und die Überprüfung der Typisierung Ihres Datenmodells, können Sie die Sicherheit Ihrer Anwendung erhöhen und gleichzeitig die Funktionen von Json.Net nutzen.
Das obige ist der detaillierte Inhalt vonWie sicher ist Ihre JSON-Deserialisierung mit TypeNameHandling von Json.Net?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

In diesem Artikel werden die Funktionstypen zur Rückgabe von Funktionen (int, float, char usw.), abgeleitet (Arrays, Zeiger, Strukturen) und Hohlraumtypen enthält. Der Compiler bestimmt den Rückgabetyp über die Funktionserklärung und die Rückgabeerklärung unter der Durchsetzung

GULC ist eine Hochleistungs-C-Bibliothek, die minimale Overheads, aggressive Einbeziehung und Compiler-Optimierung priorisiert. Ideal für leistungskritische Anwendungen wie Hochfrequenzhandel und eingebettete Systeme, sein Design betont die Einfachheit, Modul

Dieser Artikel erläutert die C -Funktionserklärung im Vergleich zu Definition, Argumentübergabe (nach Wert und Zeiger), Rückgabetwerten und gemeinsamen Fallstricken wie Speicherlecks und Typenfehlanpassungen. Es betont die Bedeutung von Erklärungen für Modularität und Provi

In diesem Artikel wird die C -Funktion für die String -Fallkonvertierung beschrieben. Es erklärt mit toupper () und tolower () aus ctype.h, iteriert durch Saiten und Handhabung von Null -Terminatoren. Häufige Fallstricke wie das Vergessen von ctype.h und das Modifizieren von String -Literalen sind

Dieser Artikel untersucht die Speicher des C -Funktionsrückgabewerts. Kleine Renditewerte werden in der Regel in Registern für Geschwindigkeit gespeichert. Größere Werte können Zeiger zum Speicher verwenden (Stapel oder Heap), die die Lebensdauer beeinflussen und die manuelle Speicherverwaltung erfordern. Direkt ACC

Dieser Artikel analysiert die vielfältigen Verwendungen des Adjektivs "Unterscheidet", die seine grammatikalischen Funktionen, gemeinsame Phrasen (z. B. "unterscheidet sich von" "deutlich anders") und nuancierte Anwendung in formalen vs. informellen Anwendung

Dieser Artikel beschreibt die effiziente Verwendung von STL -Algorithmus in c. Es betont die Auswahl der Datenstruktur (Vektoren vs. Listen), Algorithmus -Komplexitätsanalyse (z. B. std :: sortieren vs. std :: partial_sort), Iteratoranwendungen und parallele Ausführung. Häufige Fallstricke wie

In diesem Artikel werden die C -Standard -Vorlagenbibliothek (STL) erläutert, die sich auf seine Kernkomponenten konzentriert: Container, Iteratoren, Algorithmen und Funktoren. Es wird beschrieben, wie diese interagieren, um die generische Programmierung, die Verbesserung der Codeeffizienz und die Lesbarkeit t zu ermöglichen


Heiße KI -Werkzeuge

Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool
Ausziehbilder kostenlos

Clothoff.io
KI-Kleiderentferner

AI Hentai Generator
Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

Heiße Werkzeuge

Dreamweaver CS6
Visuelle Webentwicklungstools

Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung

SAP NetWeaver Server-Adapter für Eclipse
Integrieren Sie Eclipse mit dem SAP NetWeaver-Anwendungsserver.

mPDF
mPDF ist eine PHP-Bibliothek, die PDF-Dateien aus UTF-8-codiertem HTML generieren kann. Der ursprüngliche Autor, Ian Back, hat mPDF geschrieben, um PDF-Dateien „on the fly“ von seiner Website auszugeben und verschiedene Sprachen zu verarbeiten. Es ist langsamer und erzeugt bei der Verwendung von Unicode-Schriftarten größere Dateien als Originalskripte wie HTML2FPDF, unterstützt aber CSS-Stile usw. und verfügt über viele Verbesserungen. Unterstützt fast alle Sprachen, einschließlich RTL (Arabisch und Hebräisch) und CJK (Chinesisch, Japanisch und Koreanisch). Unterstützt verschachtelte Elemente auf Blockebene (wie P, DIV),

Herunterladen der Mac-Version des Atom-Editors
Der beliebteste Open-Source-Editor
