Gemeinschaft

Lernen

Tools-Bibliothek

KI-Tools

Freizeit

Deutsch

Heim > Backend-Entwicklung > C++ > Ist die automatische JSON-Deserialisierung mit „TypeNameHandling.Auto' von Json.Net sicher, auch wenn die Deserialisierung auf einen bestimmten Typ beschränkt ist?

Ist die automatische JSON-Deserialisierung mit „TypeNameHandling.Auto' von Json.Net sicher, auch wenn die Deserialisierung auf einen bestimmten Typ beschränkt ist?

Mary-Kate Olsen

Freigeben： 2025-01-07 14:16:41

Original

874 Leute haben es durchsucht

Is Automatic JSON Deserialization with Json.Net's `TypeNameHandling.Auto` Secure, Even When Limiting Deserialization to a Specific Type?

Kann externes JSON aufgrund von Json.Net TypeNameHandling Auto anfällig sein?

Problem:

Bei Website-Anwendungen, bei denen Benutzer benutzerdefinierte JSON-Objekte hochladen, ist es unbedingt erforderlich, sich potenzieller Bedrohungen bewusst zu sein, die durch den automatisierten JSON-Typ entstehen Deserialisierung. Die Frage ist, ob die automatische Deserialisierung von Typen anfällig für Schwachstellen ist, wenn der einzige deserialisierte Typ ein bestimmter Typ ist (z. B. MyObject) und keines der Mitglieder von MyObject den Typ System.Object oder Dynamic hat.

Antwort:

Die Einhaltung dieser Bedingungen verringert zwar das Risiko erheblich, garantiert jedoch keinen vollständigen Schutz. Die TypeNameHandling-Einstellung von Json.Net kann, wenn sie auf „Auto“ gesetzt ist, möglicherweise Objekte basierend auf „$type“-Informationen erstellen, selbst wenn kein entsprechendes Feld in MyObject vorhanden ist.

Detaillierte Erklärung:

Angriffe auf Json.Net nutzen die TypeNameHandling-Einstellung aus, um „Angriffs-Gadgets“ zu erstellen – Objekte, die das empfangende System gefährden sollen. Zu den Schutzmechanismen von Json.Net gehören das Ignorieren unbekannter Eigenschaften und die Prüfung auf Typkompatibilität. Es gibt jedoch Szenarien, in denen ein Angriffsgerät auch ohne offensichtliche untypisierte Mitglieder erstellt werden kann:

Deserialisierung untypisierter Sammlungen (z. B. ArrayList, List
)
Deserialisierung von halbtypisierte Sammlungen (z. B. CollectionBase)

Deserialisierung von Typen, die ISerializable implementieren (z. B. Exception)

Deserialisierung von Typen mit bedingter Serialisierung von Mitgliedern (z. B. öffentliches Objekt tempData; public bool ShouldSerializeTempData() { return false; })

Empfehlungen:
- Seien Sie vorsichtig: TypeNameHandling sollte bei der Deserialisierung von externem JSON und einem benutzerdefinierten umsichtig verwendet werden SerializationBinder wird empfohlen für Validierung.
- Datenmodell überprüfen: Stellen Sie sicher, dass keine Mitgliedstypen objektorientiert, dynamisch oder mit Angriffsgeräten kompatibel sind.
- Serialisierungsbinder berücksichtigen: Implementieren Sie einen benutzerdefinierten SerializationBinder, um streng zu steuern, welche Typen deserialisiert werden.
Zusammenfassend lässt sich sagen, dass die bereitgestellten Bedingungen erheblich sind Um das Risiko zu mindern, ist es wichtig zu beachten, dass dadurch keine vollständige Sicherheit garantiert wird. Die Einstellung „TypeNameHandling Auto“ von Json.Net erleichtert möglicherweise weiterhin die Erstellung von Angriffsgeräten, was zusätzliche Vorsichtsmaßnahmen wie benutzerdefinierte Serialisierungsbinder erforderlich macht.
Das obige ist der detaillierte Inhalt vonIst die automatische JSON-Deserialisierung mit „TypeNameHandling.Auto' von Json.Net sicher, auch wenn die Deserialisierung auf einen bestimmten Typ beschränkt ist?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Quelle：php.cn

Vorheriger Artikel：Wie kann ich meine JSON-Deserialisierung vor externen Quellen mithilfe des TypeNameHandling von Json.Net schützen? Nächster Artikel：Wie sicher ist Ihre JSON-Deserialisierung mit TypeNameHandling von Json.Net?

Erklärung dieser Website

Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Neueste Artikel des Autors
Aktuelle Ausgaben

function_exists() kann die benutzerdefinierte Funktion nicht ermitteln Funktionstest () {Verwendung der Verwendung durch -Durch -Durch -Durch -Durch -Durch -Durc...

Aus 2024-04-29 11:01:01

0

3

2420

So zeigen Sie die mobile Version von Google Chrome an Hallo Lehrer, wie kann ich Google Chrome in eine mobile Version umwandeln?

Aus 2024-04-23 00:22:19

0

11

2550

Das untergeordnete Fenster bedient das übergeordnete Fenster, aber die Ausgabe antwortet nicht. Die ersten beiden Sätze sind ausführbar, der letzte Satz jedoch nicht.

Aus 2024-04-19 15:37:47

0

1

2160

Im übergeordneten Fenster erfolgt keine Ausgabe document.onclick = function(){ window.opener.document.write('Ich bin die Ausgabe des unter...

Aus 2024-04-18 23:52:34

0

1

2039

Wo gibt es die Kursunterlagen zum CSS-Mindmapping? Kursunterlagen

Aus 2024-04-16 10:10:18

0

0

2129
verwandte Themen
Mehr>
Beliebte Empfehlungen
Wie behebt man den C++-Syntaxfehler: „Erwarteter Primärausdruck vor „;''

Wie behebt man den C++-Syntaxfehler: „Erwarteter Primärausdruck vor „,' Token'?

C++-Kompilierungsfehler: nicht deklarierter Bezeichner, wie kann man ihn lösen?

C++-Fehler: Bezeichner nicht gefunden, was soll ich tun?

C++-Fehler: Variable nicht initialisiert, wie kann man ihn lösen?
Beliebte Tutorials
Mehr>
Verwandte Tutorials

Beliebte Empfehlungen

Aktuelle Kurse

Das neueste Video-Tutorial zur Weltpremiere von ThinkPHP 5.1 (60 Tage zum Online-Schulungskurs zum PHP-Experten)

1426940

PHP-Einführungs-Tutorial eins: Lernen Sie PHP in einer Woche

4276753

JAVA-Video-Tutorial für Anfänger

2573884

Das nullbasierte Einführungsvideo-Tutorial von Little Turtle zum Erlernen von Python

509846

PHP Zero-basiertes Einführungs-Tutorial

866541

Das neueste Video-Tutorial zur Weltpremiere von ThinkPHP 5.1 (60 Tage zum Online-Schulungskurs zum PHP-Experten)

1426940 Lernzeiten

JAVA-Video-Tutorial für Anfänger

2573884 Lernzeiten

Das nullbasierte Einführungsvideo-Tutorial von Little Turtle zum Erlernen von Python

509846 Lernzeiten

Kurze Einführung in die Web-Frontend-Entwicklung

216214 Lernzeiten

Meistern Sie PS-Video-Tutorials von Grund auf

898221 Lernzeiten

[Web-Frontend] Node.js-Schnellstart

8160 Lernzeiten

Vollständige Sammlung ausländischer Full-Stack-Kurse zur Webentwicklung

6466 Lernzeiten

Gehen Sie zur praktischen Anwendung von GraphQL

5379 Lernzeiten

Der 550-W-Lüftermeister lernt Schritt für Schritt JavaScript von Grund auf

737 Lernzeiten

Python-Meister Mosh, ein Anfänger ohne Grundkenntnisse, kann in 6 Stunden loslegen

27332 Lernzeiten
Neueste Downloads
Mehr>
Web-Effekte

Quellcode der Website

Website-Materialien

Frontend-Vorlage

[Formular-Schaltfläche] Kontaktcode für das jQuery-Enterprise-Nachrichtenformular

[Spezialeffekte für Spieler] Wiedergabeeffekte für HTML5-MP3-Spieluhren

[Menünavigation] HTML5 coole Partikelanimations-Navigationsmenü-Spezialeffekte

[Formular-Schaltfläche] Drag-and-Drop-Bearbeitungscode für visuelle jQuery-Formulare

[Spezialeffekte für Spieler] VUE.JS imitiert den Kugou-Musik-Player-Code

[HTML5-Spezialeffekte] Klassisches HTML5-Pushing-Box-Spiel

[Bildspezialeffekte] jQuery-Scrollen zum Hinzufügen oder Reduzieren von Bildeffekten

[Fotoalbumeffekte] Persönlicher CSS3-Albumcover-Hover-Zoom-Effekt

[Frontend-Vorlage] Website-Vorlage für Reinigungs- und Reparaturdienste für Inneneinrichtungen

[Frontend-Vorlage] Persönliche Lebenslauf-Leitfaden-Seitenvorlage in frischen Farben

[Frontend-Vorlage] Web-Vorlage für kreativen Job-Lebenslauf für Designer

[Frontend-Vorlage] Website-Vorlage eines modernen Ingenieurbauunternehmens

[Frontend-Vorlage] Responsive HTML5-Vorlage für Bildungseinrichtungen

[Frontend-Vorlage] Vorlage für die Website eines Online-E-Book-Shops für Einkaufszentren

[Frontend-Vorlage] IT-Technologie löst Website-Vorlage für Internetunternehmen

[Frontend-Vorlage] Website-Vorlage für Devisenhandelsdienste im violetten Stil

[PNG material] 可爱的夏天元素矢量素材(EPS+PNG)

[PNG material] 四个红的的 2023 毕业徽章矢量素材(AI+EPS+PNG)

[Banner image] 唱歌的小鸟和装满花朵的推车设计春天banner矢量素材(AI+EPS)

[PNG material] 金色的毕业帽矢量素材(EPS+PNG)

[PNG material] 黑白风格的山脉图标矢量素材(EPS+PNG)

[PNG material] 不同颜色披风和不同姿势的超级英雄剪影矢量素材(EPS+PNG)

[Banner image] 扁平风格的植树节banner矢量素材(AI+EPS)

[PNG material] 九个漫画风格的爆炸聊天气泡矢量素材(EPS+PNG)

[Frontend-Vorlage] Website-Vorlage für Reinigungs- und Reparaturdienste für Inneneinrichtungen

[Frontend-Vorlage] Persönliche Lebenslauf-Leitfaden-Seitenvorlage in frischen Farben

[Frontend-Vorlage] Web-Vorlage für kreativen Job-Lebenslauf für Designer

[Frontend-Vorlage] Website-Vorlage eines modernen Ingenieurbauunternehmens

[Frontend-Vorlage] Responsive HTML5-Vorlage für Bildungseinrichtungen

[Frontend-Vorlage] Vorlage für die Website eines Online-E-Book-Shops für Einkaufszentren

[Frontend-Vorlage] IT-Technologie löst Website-Vorlage für Internetunternehmen

[Frontend-Vorlage] Website-Vorlage für Devisenhandelsdienste im violetten Stil
Online-PHP-Schulung für das Gemeinwohl，Helfen Sie PHP-Lernenden, sich schnell weiterzuentwickeln！

Über uns Haftungsausschluss Sitemap

© php.cn All rights reserved