最近暴露的有关.NET中序列化的安全漏洞有不明确的建议.安全使用
JSON.NET的正确方法是什么?
JSON.NET的详细指南:https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf#page=5
应该使用TypeNameHandling.All还是应该使用TypeNameHandling.None?
好吧,在
documentation中我的答案就在我面前:
“使用非None以外的值进行反序列化时,应使用自定义SerializationBinder验证传入类型.”
