セキュリティのリスクを防ぐために、c＃のtypeNameHandlingでJSONを安全に脱退するにはどうすればよいですか？

TypeNameHandling：JSONの背中の警告ストーリー - シーケンション デフォルトの設定typeNameHandling.allは便利に見えますが、危険を隠しています。 JSONデータにタイプメタデータが含まれている場合、json.netは指定されたタイプで指定されたタイプを試します。これは無害に見えますが、悪意のあるコードはこの関数を使用してアプリケーションに危険なオブジェクトを作成できます。 この例を検討してください：車のJSONデータを示すオブジェクト：

この悪意のあるJSONは、json.netに、被害者の不明または不本意な同意なしに被害者のシステム上のファイルを削除するtempfilecollectオブジェクトをインスタンス化するように指示します。 この脆弱性を緩和するために、typenamehandling.all back serialization jsonを使用する場合、カスタムシリアル化バインダーを使用してください。このバインダーは、インスタンス化の前に送信されたタイプが安全で許可されていることを確認するために、厳密な検証と検査を実行できます。これらの予防措置を講じることにより、悪意のあるJSONがアプリケーションの完全性を損なうことを防ぐことができます。

以上がセキュリティのリスクを防ぐために、c＃のtypeNameHandlingでJSONを安全に脱退するにはどうすればよいですか？の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。