Có lỗ hổng bảo mật nào đã biết với trình gỡ lỗi JSON của Django không? Về các giao thức deserializing Python, sự đồng thuận chung dường như là chúng hoàn toàn không an toàn, do đó, tránh phân tích cú pháp dữ liệu không đáng tin cậy.Bảo mật De-serialization Django JSON
Tuy nhiên, tôi đang xem xét một ứng dụng web phân tán nơi các máy chủ khác nhau trao đổi các bản ghi mô hình, được định dạng dưới dạng JSON. Bản thân các bản ghi không chứa dữ liệu nhạy cảm, nhưng tôi lo ngại về khả năng máy chủ bị tấn công vi phạm một máy chủ khác bằng cách gửi JSON có định dạng độc hại. Điều này có thể không?
Tôi thường thấy bộ nối tiếp JSON của Django trong môi trường công khai, vì vậy tôi hy vọng nó sẽ được chống lại loại điều này, nhưng tôi không thể tìm thấy bất kỳ tài liệu nào giải quyết bất kỳ vấn đề bảo mật nào.
Bạn có bật tính năng bảo vệ CSRF không? Điều đó sẽ đi một chặng đường dài hướng tới đảm bảo an ninh. –
"json được định dạng độc hại" là gì? – Marcin
@Marcin, JSON được định dạng để khai thác một số lỗ hổng trong trình phân tích cú pháp, cho phép thực hiện các hướng dẫn tùy ý trên máy chủ. – Cerin