Django JSON 反序列化安全

Question

Django 的 JSON 反序列化器是否存在任何已知的安全漏洞？关于 Python 反序列化协议，普遍的共识似乎是它们完全不安全，因此请避免解析不受信任的数据。

但是，我正在考虑一个分布式 Web 应用程序，其中不同的服务器交换模型记录，格式为 JSON。记录本身不包含敏感数据，但我担心被黑服务器通过发送恶意格式化的 JSON 来破坏另一台服务器的能力。这可能吗？

我通常会在面向公众的环境中看到 Django 的 JSON 序列化程序，因此我希望它能够针对此类事情进行强化，但我无法找到任何解决任何安全问题的文档。

Answer 1

默认情况下，当使用simplejson，这是Django使用的默认反序列化器时，可以从JSON转换为Python对象的对象类型是有限的。不是这种情况的唯一方法是，如果您正在使用 loads() 或 load() 方法或您自己的 JSONDecoder 对象的可选参数进行某种专门的解码。

所以，只要您使用默认解码，就非常安全。但是，如果您真的很担心，您应该在实际使用它之前验证加载的 JSON 数据。

Answer 2

我无法确定您认为 JSON 的哪些方面可能不安全（或安全）。

JSON 是一种基于文本的数据交换格式。它没有任何内置的安全性。 Django 带有一些函数来将查询集序列化和反序列化为 JSON。但这些不能是“恶意的”或“不安全的”——它们只是数据。

某些序列化协议（例如酸洗）可能不安全，因为它们可能包含代码，因此可能会被反序列化以运行会损害您系统的东西。序列化模型没有这个问题，因为它们不包含代码。

当然，如果您使用 JSON（例如）传递要删除的模型 ID 列表，那么恶意用户可能会包含您不想删除的整个 ID 负载。但这又不是 JSON 的错 - 由您来确保您的业务逻辑正确地确定允许用户删除或修改哪些元素。