【发布时间】:2016-12-13 05:15:48
【问题描述】:
在用于 JSON 序列化和反序列化的 Python jsonpickle 模块的 documentation 中声明
从不受信任的来源加载 JSON 字符串表示潜在的 安全漏洞。 jsonpickle 不会尝试清理 输入
但我想知道攻击者怎么可能通过 JSON 消息执行任意代码?
此外,按照文档中的建议清理输入的最佳方法是什么?我的应用程序中的 JSON 数据不可信(它来自发送 JSON 消息的客户端)。
【问题讨论】:
标签: python json security jsonpickle