我知道酸洗/去酸洗可能会严重影响安全性。我打算使用酸洗作为使用jsonpickle在Django模型中存储和传输对象实例的方式。我还打算使用哈希或签名来验证腌制的完整性,然后再进行腌制(即发送哈希,然后发送腌制,无论如何)。
由于我自己的代码将生成腌制的对象,因此假设传输中的任何对象也将被加密,此方法(相对或绝对)是否足够安全?
答案 0 :(得分:0)
如果仅传递JSON(由于使用了https连接而进行了加密),则可以消除pickle固有的任意代码执行风险。您可以在使用之前验证数据。您只需要担心从允许与您通信的人那里接收数据(这与身份验证有关)。
您可以自定义不支持所需类型的JSON序列化。
例如,与REST API交换JSON很常见。
这看起来很安全(尽管我不是安全专家),而且简单得多。