지역 사회

배우다

도구 라이브러리

AI 도구

여가

한국어

집 > 백엔드 개발 > C++ > Json.Net의 TypeNameHandling을 사용하여 외부 소스에서 JSON 역직렬화를 보호하려면 어떻게 해야 합니까?

Json.Net의 TypeNameHandling을 사용하여 외부 소스에서 JSON 역직렬화를 보호하려면 어떻게 해야 합니까?

Linda Hamilton

풀어 주다： 2025-01-07 14:12:40

원래의

145명이 탐색했습니다.

How Can I Secure My JSON Deserialization from External Sources Using Json.Net's TypeNameHandling?

Json.Net TypeNameHandling 자동으로 인한 외부 JSON 취약성

Json.Net의 TypeNameHandling 자동 설정은 신뢰할 수 없는 JSON을 역직렬화할 때 잠재적으로 보안 위험을 초래할 수 있습니다. 소스. 그러나 특정 지침을 준수하면 이러한 위험을 완화할 수 있습니다.

유형 안전 및 공격 가젯

TypeNameHandling을 악용하는 공격은 악의적인 작업을 실행하는 "공격 가젯" 구축에 의존합니다. 인스턴스화 또는 초기화 시. Json.Net은 역직렬화된 유형과 예상 유형의 호환성을 검증하여 이러한 공격으로부터 보호합니다.

취약성 조건

대상에 명시적인 개체나 동적 멤버가 없는 경우 등급이 위험을 줄여준다고 해서 안전성이 완전히 보장되는 것은 아닙니다. 다음 시나리오에서 잠재적인 취약점이 발생할 수 있습니다.

유형이 지정되지 않은 컬렉션: 유형이 지정되지 않은 컬렉션(예: List
)을 역직렬화하면 컬렉션 항목 내에 공격 가젯을 위한 공간이 남습니다.
CollectionBase 구현: CollectionBase 유형은 런타임에만 항목 유형을 검증할 수 있어 잠재적인 취약성 창을 생성합니다.

공유 기본 유형/인터페이스: 공격 가젯과 기본 유형 또는 인터페이스를 공유하는 유형은 취약성을 상속할 수 있습니다.

ISerialized 인터페이스: ISerialize를 구현하는 유형의 역직렬화를 통해 유형이 지정되지 않은 멤버를 허용할 수 있음 deserialization.

조건부 직렬화: ShouldSerializeAttribute 메서드로 표시된 멤버는 명시적으로 직렬화되지 않은 경우에도 역직렬화될 수 있습니다.

위험 완화

위험을 최소화하려면 다음 사항을 반드시 준수해야 합니다. 권장 사항:
- 가능한 경우 TypeNameHandling.None을 사용하세요.
- 사용자 지정 SerializationBinder를 구현하여 수신 유형을 확인하고 예상치 못한 유형의 역직렬화를 방지하세요.
- [Serialized ] 속성을 DefaultContractResolver.IgnoreSerializedAttribute로 설정하여 true.
- 역직렬화해서는 안 되는 모든 객체 멤버가 false를 반환하는 ShouldSerializeAttribute 메서드로 표시되어 있는지 확인하세요.
이러한 지침을 준수하면 JSON을 안전하게 역직렬화할 수 있습니다. TypeNameHandling auto가 있으면 공격 위험이 크게 줄어듭니다.
위 내용은 Json.Net의 TypeNameHandling을 사용하여 외부 소스에서 JSON 역직렬화를 보호하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천：php.cn

이전 기사：복잡한 WinForms 레이아웃에서 37개의 텍스트 상자에 값을 효율적으로 할당하려면 어떻게 해야 합니까? 다음 기사：역직렬화를 특정 유형으로 제한하는 경우에도 Json.Net의 `TypeNameHandling.Auto`를 사용한 자동 JSON 역직렬화가 안전합니까?

본 웹사이트의 성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
최신 이슈

function_exists()는 사용자 정의 함수를 결정할 수 없습니다. 기능 테스트() { ...

에서 2024-04-29 11:01:01

0

3

2420

Chrome 모바일 버전을 표시하는 방법 안녕하세요 선생님, Chrome을 모바일 버전으로 어떻게 변경하나요?

에서 2024-04-23 00:22:19

0

11

2550

자식 창이 부모 창을 작동하지만 출력이 응답하지 않습니다. 처음 두 문장은 실행 가능하지만 마지막 문장은 구현할 수 없습니다.

에서 2024-04-19 15:37:47

0

1

2160

상위 창에 출력이 없습니다. document.onclick = function(){ window.opener.document.write('나는 자식 창의 출력입니다.');

에서 2024-04-18 23:52:34

0

1

2039

CSS 마인드맵 코스웨어는 어디에 있나요? 코스웨어

에서 2024-04-16 10:10:18

0

0

2129
관련 주제
더>
인기 추천
C++ 구문 오류를 해결하는 방법: ';' 토큰 앞에 기본 표현식이 필요합니까?

C++ 구문 오류를 해결하는 방법: '',' 토큰' 앞에 기본 표현식이 필요합니까?

C++ 컴파일 오류: 선언되지 않은 식별자, 해결 방법은 무엇입니까?

C++ 오류: 식별자를 찾을 수 없습니다. 어떻게 해야 합니까?

C++ 오류: 변수가 초기화되지 않았습니다. 어떻게 해결합니까?
인기 튜토리얼
더>
관련 튜토리얼

인기 추천

최신 강좌

최신 ThinkPHP 5.1 세계 최초 비디오 튜토리얼(PHP 전문가 온라인 교육 과정이 되기까지 60일)

1426940

PHP 입문 튜토리얼 1: 일주일 안에 PHP 배우기

4276759

JAVA 초보자용 비디오 튜토리얼

2573884

Little Turtle의 Python 학습에 대한 제로 기반 소개 비디오 튜토리얼

509851

PHP 제로 기반 입문 튜토리얼

866543

최신 ThinkPHP 5.1 세계 최초 비디오 튜토리얼(PHP 전문가 온라인 교육 과정이 되기까지 60일)

1426940 학습 시간

JAVA 초보자용 비디오 튜토리얼

2573884 학습 시간

Little Turtle의 Python 학습에 대한 제로 기반 소개 비디오 튜토리얼

509851 학습 시간

웹 프론트 엔드 개발에 대한 빠른 소개

216214 학습 시간

PS 비디오 튜토리얼을 처음부터 마스터하세요

898221 학습 시간

[웹 프런트엔드] Node.js 빠른 시작

8160 학습 시간

해외 웹 개발 풀스택 강좌 총집합

6466 학습 시간

Go 언어 실습 GraphQL

5379 학습 시간

550W 팬 마스터가 JavaScript를 처음부터 차근차근 학습합니다

737 학습 시간

기초 지식이 전혀 없는 초보자도 6시간 만에 시작할 수 있는 파이썬 마스터 모쉬

27332 학습 시간
최신 다운로드
더>
웹 효과

웹사이트 소스 코드

웹사이트 자료

프론트엔드 템플릿

[양식 버튼] jQuery 기업 메시지 양식 연락처 코드

[플레이어 특수 효과] HTML5 MP3 뮤직 박스 재생 효과

[메뉴 탐색] HTML5 멋진 입자 애니메이션 탐색 메뉴 특수 효과

[양식 버튼] jQuery 시각적 양식 드래그 앤 드롭 편집 코드

[플레이어 특수 효과] VUE.JS 모방 Kugou 음악 플레이어 코드

[HTML5 특수 효과] 클래식 HTML5 푸시 박스 게임

[그림 특수 효과] 이미지 효과를 추가하거나 줄이기 위해 jQuery 스크롤

[사진 앨범 효과] CSS3 개인 앨범 커버 호버 확대/축소 효과

[프런트엔드 템플릿] 가정 장식 청소 및 수리 서비스 회사 웹사이트 템플릿

[프런트엔드 템플릿] 신선한 색상의 개인 이력서 가이드 페이지 템플릿

[프런트엔드 템플릿] 디자이너 크리에이티브 작업 이력서 웹 템플릿

[프런트엔드 템플릿] 현대 엔지니어링 건설 회사 웹사이트 템플릿

[프런트엔드 템플릿] 교육 서비스 기관을 위한 반응형 HTML5 템플릿

[프런트엔드 템플릿] 온라인 전자책 쇼핑몰 웹사이트 템플릿

[프런트엔드 템플릿] IT 기술로 인터넷 회사 웹 사이트 템플릿을 해결합니다.

[프런트엔드 템플릿] 보라색 스타일 외환 거래 서비스 웹 사이트 템플릿

[PNG 소재] 귀여운 여름 요소 벡터 자료(EPS+PNG)

[PNG 소재] 4개의 빨간색 2023 졸업 배지 벡터 자료(AI+EPS+PNG)

[배너 그림] 노래하는 새와 꽃 디자인 봄 배너 벡터 자료로 가득 찬 카트(AI+EPS)

[PNG 소재] 황금 졸업 모자 벡터 자료(EPS+PNG)

[PNG 소재] 흑백 스타일 산 아이콘 벡터 자료(EPS+PNG)

[PNG 소재] 다양한 색상의 망토와 포즈를 갖춘 슈퍼히어로 실루엣 벡터 자료(EPS+PNG)

[배너 그림] 플랫 스타일 식목일 배너 벡터 자료(AI+EPS)

[PNG 소재] 9개의 만화 스타일의 폭발적인 채팅 거품 벡터 자료(EPS+PNG)

[프런트엔드 템플릿] 가정 장식 청소 및 수리 서비스 회사 웹사이트 템플릿

[프런트엔드 템플릿] 신선한 색상의 개인 이력서 가이드 페이지 템플릿

[프런트엔드 템플릿] 디자이너 크리에이티브 작업 이력서 웹 템플릿

[프런트엔드 템플릿] 현대 엔지니어링 건설 회사 웹사이트 템플릿

[프런트엔드 템플릿] 교육 서비스 기관을 위한 반응형 HTML5 템플릿

[프런트엔드 템플릿] 온라인 전자책 쇼핑몰 웹사이트 템플릿

[프런트엔드 템플릿] IT 기술로 인터넷 회사 웹 사이트 템플릿을 해결합니다.

[프런트엔드 템플릿] 보라색 스타일 외환 거래 서비스 웹 사이트 템플릿
공공복지 온라인 PHP 교육，PHP 학습자의 빠른 성장을 도와주세요！

회사 소개 부인 성명 Sitemap

© php.cn All rights reserved