Json.Net 的 TypeNameHandling.Auto 是否为外部 JSON 反序列化设置了安全风险？

外部 JSON 是否因 Json.Net TypeNameHandling Auto 而容易受到攻击？

在 Web 应用程序领域，处理 JSON 请求是一种常见做法。然而，人们对使用 Json.Net 等 JSON 框架的自动类型反序列化带来的潜在威胁提出了担忧。

了解问题

当 JSON 负载被反序列化时如果没有足够的验证，特别是当存在动态或对象类型属性时，攻击者就有可能提供包含“$type”密钥的恶意有效负载。该密钥可以指定一个攻击小工具，该攻击小工具在反序列化时可以在接收系统上执行任意代码。

TypeNameHandling 和漏洞

Json.Net 提供了一个 TypeNameHandling 设置，确定包含“$type”键的 JSON 有效负载如何已处理：

• 无：禁用“$type”键的反序列化。
• 自动：自动解析“$type”键指定的类型$type" 键。

默认情况下，此设置通常保留为“Auto”，这引起了对潜在漏洞的担忧。

使用 TypeNameHandling.Auto 的安全方法

在传入 JSON 仅反序列化为特定类型的特定场景中（ MyObject）并且 MyObject 或其子对象中没有对象或动态类型成员，不太可能漏洞存在。

但是，请务必注意，这并不能保证安全。包含非类型化项目的意外类型或集合仍然可能允许攻击小工具反序列化。

缓解措施和最佳实践

进一步为了降低风险，请考虑以下最佳实践：

• 使用自定义 SerializationBinder 来验证传入类型。
• 限制使用对象、动态和 IDynamicMetaObjectProvider 类型。
• 反序列化具有潜在攻击的共享基类型的集合或值时要小心谨慎
• 设置 DefaultContractResolver.IgnoreSerializedInterface = true 以防止实现 ISerialized 的类型反序列化。

结论

使用 Json.Net 的 TypeNameHandling .自动设置可以降低漏洞风险，它对于彻底验证传入的 JSON 数据并实施额外的保护措施以减轻潜在威胁至关重要。

以上是Json.Net 的 TypeNameHandling.Auto 是否为外部 JSON 反序列化设置了安全风险？的详细内容。更多信息请关注PHP中文网其他相关文章！