如何使用 Json.Net 的 TypeNameHandling 保护来自外部源的 JSON 反序列化？

由于 Json.Net TypeNameHandling Auto 导致的外部 JSON 漏洞

Json.Net 的 TypeNameHandling 自动设置在从不受信任的 JSON 反序列化时可能会引入安全风险来源。但是，可以通过遵守特定准则来减轻这些风险。

类型安全和攻击小工具

利用 TypeNameHandling 的攻击依赖于构建执行恶意操作的“攻击小工具”在实例化或初始化时。 Json.Net 通过验证反序列化类型与预期类型的​​兼容性来防范这些攻击。

漏洞条件

目标中没有显式对象或动态成员等级降低了风险，但并不能完全保证安全。在以下情况下可能会出现潜在的漏洞：

• 非类型化集合：反序列化非类型化集合（例如 List
• CollectionBase 实现： CollectionBase 类型只能在运行时验证项目类型，从而创建潜在的漏洞窗口。
• 共享基本类型/接口：与攻击小工具共享基本类型或接口的类型可以继承漏洞。
• ISerialized 接口： 实现 ISerialized 的类型的反序列化可能允许非类型化成员反序列化。
• 条件序列化： 使用 ShouldSerializeAttribute 方法标记的成员即使未显式序列化也可以反序列化。

降低风险

为了最大限度地降低风险，必须遵循这些建议：

• 尽可能使用 TypeNameHandling.None。
• 实现自定义 SerializationBinder 来验证传入类型并防止意外类型的反序列化。
• 考虑忽略 [ Serialized] 属性，通过将 DefaultContractResolver.IgnoreSerializedAttribute 设置为true。
• 确保所有不得反序列化的对象成员都使用返回 false 的 ShouldSerializeAttribute 方法进行标记。

通过遵守这些准则，即使在TypeNameHandling auto 的存在同时显着降低了攻击的风险。

以上是如何使用 Json.Net 的 TypeNameHandling 保护来自外部源的 JSON 反序列化？的详细内容。更多信息请关注PHP中文网其他相关文章！