标签: java json security jackson deserialization
我有一个响应REST API的JSON字符串,我试图将其反序列化为Jackson中的ObjectNode,如下所示。
String response = webservice(...); ObjectNode jsonObj = new ObjectMapper().readTree(response);
在我们对源代码的静态扫描中,它发现JSON注入的漏洞,此调用可能允许攻击者将任意元素或属性注入JSON实体。
如何确保防止JSON注入?