Newtonsoft JSON.NET安全漏洞实施

发布时间：2020-12-16 19:52:28 所属栏目：百科来源：网络整理

导读：最近暴露的有关.NET中序列化的安全漏洞有不明确的建议.安全使用 JSON.NET的正确方法是什么？ JSON.NET的详细指南：https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf#page=5 应该使用TypeNameHandling.All还是

最近暴露的有关.NET中序列化的安全漏洞有不明确的建议.安全使用 JSON.NET的正确方法是什么？

JSON.NET的详细指南：https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf#page=5

应该使用TypeNameHandling.All还是应该使用TypeNameHandling.None？

一般说明：https://www.bleepingcomputer.com/news/security/severe-deserialization-issues-also-affect-net-not-just-java/

好吧,在 documentation中我的答案就在我面前：

“使用非None以外的值进行反序列化时,应使用自定义SerializationBinder验证传入类型.”

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!