由于 Json.Net TypeNameHandling auto，外部 json 易受攻击?

完整答案

如何配置 Json.NET 以创建易受攻击的 Web API，Newtonsoft Json 中的 TypeNameHandling 谨慎 和 Alvaro Muñoz &Oleksandr Mirosh 的 blackhat 论文都依赖于使用 TypeNameHandling Json.NET 的设置 以欺骗接收者构造攻击小工具 - 一种类型的实例，在构造、填充或处置时会影响对接收系统的攻击.

Json.NET 做了两件事来帮助防止此类攻击.首先，它忽略了未知属性.因此，简单地向 JSON 有效负载添加一个额外的未知属性，其值包含 "$type" 属性应该没有害处.其次，在多态值的反序列化过程中，当解析 "$type" 属性时，它会检查解析的类型是否与 JsonSerializerInternalReader.ResolveTypeName():

 if (objectType != null#if HAVE_DYNAMIC&&objectType != typeof(IDynamicMetaObjectProvider)#万一&&!objectType.IsAssignableFrom(specifiedType)){throw JsonSerializationException.Create(reader, "JSON '{0}' 中指定的类型与'{1}' 不兼容.".FormatWith(CultureInfo.InvariantCulture, specifiedType.AssemblyQualifiedName, objectType.AssemblyQualifiedName));}

如果多态值的预期类型与任何攻击小工具类型不兼容，则攻击将失败.如果您没有 object、dynamic 或 IDynamicMetaObjectProvider 类型的可序列化成员，这很可能是真的.但不确定！

即使您的数据模型中没有任何明显的无类型成员，也可能构建攻击小工具的情况包括:

• 无类型集合的反序列化.如果您要反序列化任何类型的无类型集合或字典，例如 ArrayList、List