标签: .net json security json.net
最近暴露的有关.NET中序列化的安全漏洞有不明确的建议。 安全使用JSON.NET的正确方法是什么?
JSON.NET的详细指南:https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf#page=5
应该使用 TypeNameHandling.All 还是应该使用 TypeNameHandling.None ?
一般说明:https://www.bleepingcomputer.com/news/security/severe-deserialization-issues-also-affect-net-not-just-java/
答案 0 :(得分:7)
在documentation:
“使用非None以外的值进行反序列化时,应使用自定义SerializationBinder验证传入类型。”