是否可以将Json.Net设置为忽略$ type?
问题描述 投票:6回答:1
观察this video on json deserialization attacks并显示这一点json,可用于在任何反序列化它的应用程序上触发任意代码执行。
现在在我的应用程序中,我甚至从未使用过类型的json。我总是反序列化为动态对象或JObjects。我甚至不知道$type财产,直到今天早上另一个无关的谈话。
在我的json设置中是否有一种方法可以告诉它永远不会写或读取此属性?这不是我想要的东西。
1个回答
投票
"$type"信息仅在TypeNameHandling被修改为TypeNameHandling.None以外的其他内容时编写 - 这是默认值。如果您从未更改过该值,则永远不会发出"$type"信息。
类似地,当"$type"(这也是默认值)时,在反序列化时忽略TypeNameHandling = TypeNameHandling.None属性,如docs中所述:
// for security TypeNameHandling is required when deserializing
Stockholder newStockholder =
JsonConvert.DeserializeObject<Stockholder>(jsonTypeNameAuto, new JsonSerializerSettings
{
TypeNameHandling = TypeNameHandling.Auto
});
如果您的代码(或代码使用的类库)中的任何内容都没有将TypeNameHandling修改为TypeNameHandling.None以外的其他内容(通过settings或JsonPropertyAttribute.TypeNameHandling等属性),则代码执行攻击无法正常工作。 (有关Json.NET的序列化程序使用的更准确的详细信息,请参阅Alvaro Muñoz & Oleksandr Mirosh's blackhat paper。
另请注意,如果使用JToken.Parse()(或某些类似的静态方法,如JObject.Parse())进行语法分析而不是使用JsonSerializer.Deserialize<T>()进行反序列化,那么"$type"属性的存在将导致这些属性填充到JToken层次结构中,因为JToken.Parse()从不调用序列化程序。如果你想在解析之后去除那些"$type"属性,你可以使用JsonExtensions.RemoveTypeMetadata(this JToken root)的Deserialize string that was serialized with TypeNameHandling.All来做到这一点。
话虽这么说,如果一个集合是由另一个使用TypeNameHandling.Arrays或TypeNameHandling.All的应用程序序列化的,那么JSON中会有一个额外的嵌套级别。要在反序列化时去除它,请参阅IgnoreCollectionTypeConverter的Strategies for migrating serialized Json.NET document between versions/formats或IgnoreArrayTypeConverter的Make Json.NET ignore $type if it's incompatible。
最后,如果您正在使用在属性中设置TypeNameHandling的第三方库,则可以使用How to disable TypeNameHandling when specified in attributes by using JsonSerializerSettings in Json.NET?中显示的自定义合约解析程序禁用该属性。
如果您真的担心团队中的其他人可能启用TypeNameHandling,您可以创建一个自定义ISerializationBinder,只要尝试解析类型或类型名称,就会抛出异常:
public class DisallowSerializationBindingBinder : ISerializationBinder
{
#region ISerializationBinder Members
public void BindToName(Type serializedType, out string assemblyName, out string typeName)
{
throw new JsonSerializationException("Binding of subtypes has been disabled");
}
public Type BindToType(string assemblyName, string typeName)
{
throw new JsonSerializationException("Binding of subtypes has been disabled");
}
#endregion
}
然后在JsonSerializerSettings中设置如下:
var settings = new JsonSerializerSettings
{
SerializationBinder = new DisallowSerializationBindingBinder(),
};
并全局修改设置,如Set default global json serializer settings(对于控制台应用程序),How to set custom JsonSerializerSettings for Json.NET in MVC 4 Web API?(对于ASP.NET Web API)或JsonSerializerSettings and Asp.Net Core(对于asp.net核心)所示。
最新问题
- 从用户获取 7 个输入的数组 - KOTLIN
- 包络跟踪和脉宽调制不起作用
- 如何将PostGIS多边形坐标转换为纬度和经度?
- CSS - 如果内容溢出到新行则应用另一种样式
- SqlAlchemy 选择日期条件
- whatwg 规范中的术语“插入点”
- 如何转到 Microsoft Defender API (MSAL) 的下一页(分页)?
- 使用 custom_admin_site 注册 ModelAdmins 在拆分为多个文件时不会显示任何内容
- Spring Boot 和 Docker Compose 无法访问 Postgres
- 修复锚标签按钮占据图像的整个宽度
- 如何在 Altair 中表达选择点来进行选择多重?
- 加载pickle NotFittedError:TfidfVectorizer - 词汇未安装
- 无法两次选择 MRU 最近文件项
- Java Jakarta 自定义约束验证器未调用
- 寻找 scanf 的 C# 等效项
- 电量查询中的分配模型
- Ingress GKE 不断抛出 404
- 如何访问名称为字符串的变量?
- 获取 random.Random 的默认实例
- 组件的角度循环,更改其中一个组件不会触发子组件的更改事件