cari
Rumahpembangunan bahagian belakangC++Adakah Penyahserikatan JSON Automatik dengan `TypeNameHandling.Auto` Json.Net Selamat, Walaupun Apabila Mengehadkan Penyahserikatan kepada Jenis Tertentu?

Adakah Penyahserikatan JSON Automatik dengan `TypeNameHandling.Auto` Json.Net Selamat, Walaupun Apabila Mengehadkan Penyahserikatan kepada Jenis Tertentu?

Mary-Kate Olsen
Mary-Kate Olsen
Jan 07, 2025 pm 02:16 PM

Is Automatic JSON Deserialization with Json.Net's `TypeNameHandling.Auto` Secure, Even When Limiting Deserialization to a Specific Type?

Bolehkah JSON Luaran Terdedah Kerana Json.Net TypeNameHandling Auto?

Masalah:

Dalam aplikasi tapak web di mana pengguna memuat naik objek JSON tersuai, adalah penting untuk diketahui potensi ancaman yang timbul daripada penyahserikatan jenis JSON automatik. Persoalannya ialah sama ada penyahserikatan jenis automatik terdedah kepada kelemahan jika satu-satunya jenis penyahseririan ialah jenis tertentu (cth., MyObject) dan tiada ahli MyObject mempunyai jenis System.Object atau dinamik.

Jawapan:

Walaupun mematuhi syarat-syarat ini dengan ketara mengurangkan risiko, ia tidak menjamin perlindungan yang lengkap. Tetapan TypeNameHandling Json.Net, apabila ditetapkan kepada Auto, berpotensi membuat objek berdasarkan maklumat "$type" walaupun tiada medan sepadan wujud dalam MyObject.

Penjelasan Terperinci:

Serangan yang menyasarkan Json.Net mengeksploitasi tetapan TypeNameHandling untuk membina "alat serangan" - objek direka untuk menjejaskan sistem penerima. Mekanisme perlindungan Json.Net termasuk mengabaikan sifat yang tidak diketahui dan menyemak keserasian jenis. Walau bagaimanapun, terdapat senario di mana alat serangan boleh dibina walaupun tanpa sebarang ahli yang tidak ditaip yang jelas:

  • Penyahserialisasian koleksi yang tidak ditaip (cth., ArrayList, Senarai)
  • Penyahserialisasian koleksi separuh taip (cth., CollectionBase)
  • Penyahserikatan jenis yang melaksanakan ISerializable (cth., Exception)
  • Penyahserikatan jenis dengan pensirilan bersyarat ahli (cth., public object tempData; public bool ShouldSerializeTempData() { return false; })

Syor:

  • Berhati-hati: TypeNameHandling hendaklah digunakan secara berhemat apabila menyahsiri JSON luaran dan adat SerializationBinder disyorkan untuk pengesahan.
  • Semak Model Data: Pastikan tiada jenis ahli adalah objek, dinamik atau serasi dengan alat serangan.
  • Pertimbangkan Pengikat Siri: Laksanakan SerializationBinder tersuai untuk mengawal jenis yang mana dinyahsiri.

Kesimpulannya, walaupun syarat yang disediakan dapat mengurangkan risiko dengan ketara, adalah penting untuk ambil perhatian bahawa ia tidak menjamin keselamatan yang lengkap. Tetapan Auto TypeNameHandling Json.Net mungkin masih berpotensi memudahkan penciptaan alat serangan, memerlukan langkah berjaga-jaga tambahan seperti pengikat bersiri tersuai.

Atas ialah kandungan terperinci Adakah Penyahserikatan JSON Automatik dengan `TypeNameHandling.Auto` Json.Net Selamat, Walaupun Apabila Mengehadkan Penyahserikatan kepada Jenis Tertentu?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel Berkaitan
C dan XML: Mengintegrasikan data dalam projek andaC dan XML: Mengintegrasikan data dalam projek andaMay 10, 2025 am 12:18 AM

Mengintegrasikan XML dalam projek C boleh dicapai melalui langkah-langkah berikut: 1) Menguraikan dan menghasilkan fail XML menggunakan PuGixML atau Perpustakaan TinyXML, 2) Pilih kaedah DOM atau SAX untuk parsing, 3) mengendalikan nod bersarang dan sifat berbilang level,

Menggunakan XML di C: Panduan untuk Perpustakaan dan AlatMenggunakan XML di C: Panduan untuk Perpustakaan dan AlatMay 09, 2025 am 12:16 AM

XML digunakan dalam C kerana ia menyediakan cara yang mudah untuk menyusun data, terutamanya dalam fail konfigurasi, penyimpanan data dan komunikasi rangkaian. 1) Pilih perpustakaan yang sesuai, seperti TinyXML, PugixML, RapidXML, dan tentukan mengikut keperluan projek. 2) Memahami dua cara parsing dan generasi XML: DOM sesuai untuk akses dan pengubahsuaian yang kerap, dan SAX sesuai untuk fail besar atau data streaming. 3) Apabila mengoptimumkan prestasi, TinyXML sesuai untuk fail kecil, PuGixML berfungsi dengan baik dalam ingatan dan kelajuan, dan RapidXML sangat baik dalam memproses fail besar.

C# dan C: Meneroka paradigma yang berbezaC# dan C: Meneroka paradigma yang berbezaMay 08, 2025 am 12:06 AM

Perbezaan utama antara C# dan C ialah pengurusan memori, pelaksanaan polimorfisme dan pengoptimuman prestasi. 1) C# menggunakan pemungut sampah untuk mengurus memori secara automatik, sementara C perlu diuruskan secara manual. 2) C# menyedari polimorfisme melalui antara muka dan kaedah maya, dan C menggunakan fungsi maya dan fungsi maya murni. 3) Pengoptimuman prestasi C# bergantung kepada struktur dan pengaturcaraan selari, manakala C dilaksanakan melalui fungsi inline dan multithreading.

C XML Parsing: Teknik dan Amalan TerbaikC XML Parsing: Teknik dan Amalan TerbaikMay 07, 2025 am 12:06 AM

Kaedah DOM dan SAX boleh digunakan untuk menghuraikan data XML dalam C. 1) DOM Parsing beban XML ke dalam ingatan, sesuai untuk fail kecil, tetapi mungkin mengambil banyak ingatan. 2) Parsing Sax didorong oleh peristiwa dan sesuai untuk fail besar, tetapi tidak dapat diakses secara rawak. Memilih kaedah yang betul dan mengoptimumkan kod dapat meningkatkan kecekapan.

C dalam domain tertentu: meneroka kubu kuatnyaC dalam domain tertentu: meneroka kubu kuatnyaMay 06, 2025 am 12:08 AM

C digunakan secara meluas dalam bidang pembangunan permainan, sistem tertanam, urus niaga kewangan dan pengkomputeran saintifik, kerana prestasi dan fleksibiliti yang tinggi. 1) Dalam pembangunan permainan, C digunakan untuk rendering grafik yang cekap dan pengkomputeran masa nyata. 2) Dalam sistem tertanam, pengurusan memori dan keupayaan kawalan perkakasan C menjadikannya pilihan pertama. 3) Dalam bidang urus niaga kewangan, prestasi tinggi C memenuhi keperluan pengkomputeran masa nyata. 4) Dalam pengkomputeran saintifik, pelaksanaan algoritma yang cekap C dan keupayaan pemprosesan data sepenuhnya dicerminkan.

Debunking the Myths: Adakah C benar -benar bahasa yang mati?Debunking the Myths: Adakah C benar -benar bahasa yang mati?May 05, 2025 am 12:11 AM

C tidak mati, tetapi telah berkembang dalam banyak bidang utama: 1) pembangunan permainan, 2) pengaturcaraan sistem, 3) pengkomputeran berprestasi tinggi, 4) pelayar dan aplikasi rangkaian, C masih pilihan arus perdana, menunjukkan senario vitalitas dan aplikasi yang kuat.

C# vs C: Analisis perbandingan bahasa pengaturcaraanC# vs C: Analisis perbandingan bahasa pengaturcaraanMay 04, 2025 am 12:03 AM

Perbezaan utama antara C# dan C ialah sintaks, pengurusan memori dan prestasi: 1) C# sintaks adalah moden, menyokong Lambda dan Linq, dan C mengekalkan ciri -ciri C dan menyokong templat. 2) C# secara automatik menguruskan memori, C perlu diuruskan secara manual. 3) Prestasi C lebih baik daripada C#, tetapi prestasi C# juga dioptimumkan.

Membina Aplikasi XML dengan C: Contoh PraktikalMembina Aplikasi XML dengan C: Contoh PraktikalMay 03, 2025 am 12:16 AM

Anda boleh menggunakan perpustakaan TinyXML, PuGixML, atau libxml2 untuk memproses data XML dalam C. 1) Parse XML Files: Gunakan kaedah DOM atau SAX, DOM sesuai untuk fail kecil, dan SAX sesuai untuk fail besar. 2) Menjana fail XML: Tukar struktur data ke dalam format XML dan tulis ke fail. Melalui langkah -langkah ini, data XML dapat diuruskan dan dimanipulasi dengan berkesan.

See all articles

Alat AI Hot

Undresser.AI Undress

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Clothoff.io

Penyingkiran pakaian AI

Video Face Swap

Video Face Swap

Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!

Tunjukkan Lagi

Artikel Panas

<🎜>: Tumbuh Taman - Panduan Mutasi Lengkap
3 minggu yang laluByDDD
<🎜>: Bubble Gum Simulator Infinity - Cara Mendapatkan dan Menggunakan Kekunci Diraja
3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Bagaimana untuk memperbaiki KB5055612 gagal dipasang di Windows 10?
3 minggu yang laluByDDD
Nordhold: Sistem Fusion, dijelaskan
3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Mandragora: Whispers of the Witch Tree - Cara Membuka Kunci Cangkuk Bergelut
3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Tunjukkan Lagi

Alat panas

SublimeText3 Linux versi baharu

SublimeText3 Linux versi baharu

SublimeText3 Linux versi terkini

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

Persekitaran pembangunan bersepadu PHP yang berkuasa

EditPlus versi Cina retak

EditPlus versi Cina retak

Saiz kecil, penyerlahan sintaks, tidak menyokong fungsi gesaan kod

Penyesuai Pelayan SAP NetWeaver untuk Eclipse

Penyesuai Pelayan SAP NetWeaver untuk Eclipse

Integrasikan Eclipse dengan pelayan aplikasi SAP NetWeaver.

MantisBT

MantisBT

Mantis ialah alat pengesan kecacatan berasaskan web yang mudah digunakan yang direka untuk membantu dalam pengesanan kecacatan produk. Ia memerlukan PHP, MySQL dan pelayan web. Lihat perkhidmatan demo dan pengehosan kami.

Tunjukkan Lagi

Topik panas

Tutorial Java
1665
14
Tutorial CakePHP
1424
52
Tutorial Laravel
1322
25
Tutorial PHP
1270
29
Tutorial C#
1249
24
Tunjukkan Lagi