7

我使用 Pyramid 作为回合制视频游戏数据传输的基础。客户端使用 POST 数据来展示他们的动作,并使用 GET 来检索序列化的游戏板数据。游戏数据有时可能涉及字符串,但几乎总是两个整数和两个元组:

gamedata = (userid, gamenumber, (sourcex, sourcey), (destx, desty))

我的一般客户端框架是 Pickle ,转换为 base 64,使用 urlencode,然后提交 POST。然后服务器接收 POST,解压缩单项字典,解码 base64,然后解压缩数据对象。

我想使用 Pickle,因为我可以使用类和值。将游戏数据作为 POST 字段提交只能给我字符串。

然而,Pickle 被认为是不安全的。所以,我转向了 pyYAML,它具有相同的目的。使用yaml.safe_load(data),我可以在不暴露安全漏洞的情况下序列化数据。但是,safe_load 非常安全,我什至不能反序列化无害的元组或列表,即使它们只包含整数。

这里有中间立场吗?有没有一种方法可以序列化 python 结构而不同时允许执行任意代码?

我的第一个想法是为我的发送和接收函数编写一个包装器,在值名称中使用下划线来重新创建元组,例如发送会将字典值转换source : (x, y)source_0 : x, source_1: y. 我的第二个想法是,这不是一个非常明智的发展方式。

编辑:这是我使用 JSON 的实现......它似乎不如 YAML 或 Pickle 强大,但我仍然担心可能存在安全漏洞。

在我进行实验时,客户端的构造更加明显:

import urllib, json, base64

arbitrarydata = { 'id':14, 'gn':25, 'sourcecoord':(10,12), 'destcoord':(8,14)}

jsondata = json.dumps(arbitrarydata)
b64data = base64.urlsafe_b64encode(jsondata)
transmitstring = urllib.urlencode( [ ('data', b64data) ] )
urllib.urlopen('http://127.0.0.1:9000/post', transmitstring).read()

Pyramid Server 可以检索数据对象:

json.loads(base64.urlsafe_b64decode(request.POST['data'].encode('ascii')))

在不相关的说明中,我很想听听关于在这种方法中使用 POST 数据的可接受性的其他意见,我的游戏客户端目前绝不是基于浏览器的。

4

3 回答 3

3

怎么样json?该库是标准 Python 库的一部分,它允许序列化大多数通用数据而无需执行任意代码。

于 2012-10-07T16:52:50.443 回答
3

为什么不colander用于您的序列化和反序列化?Colander 将对象模式转换为简单的数据结构,反之亦然,您可以使用 JSON 来发送和接收此信息。

例如:

import colander

class Item(colander.MappingSchema):
    thing = colander.SchemaNode(colander.String(),
                                validator=colander.OneOf(['foo', 'bar']))
    flag = colander.SchemaNode(colander.Boolean())
    language = colander.SchemaNode(colander.String()
                                   validator=colander.OneOf(supported_languages)

class Items(colander.SequenceSchema):
    item = Item()

上述设置定义了项目对象列表,但您也可以轻松定义游戏特定对象。

反序列化变为:

    items = Items().deserialize(json.loads(jsondata))

序列化是:

    json.dumps(Items().serialize(items))

除了让您往返 python 对象外,它还验证序列化数据以确保它适合您的模式并且没有被弄乱。

于 2012-10-07T16:53:32.640 回答
0

我没有看到 rawJSON在这里提供答案,因为我相信这个问题特别提到了酸洗和值。我不相信使用直接JSON可以序列化和反序列化python类,而pickle可以。

我对几乎所有服务器到服务器的通信都使用pickle基于 - 的序列化方法,但总是包含非常严格的身份验证机制(例如 RSA 密钥对匹配)。但是,这意味着我只处理可信来源。

如果您绝对需要使用不受信任的来源,我至少会尝试添加(很像@MartijnPieters 建议的)一个模式来验证您的交易。我认为没有一种好方法可以处理来自不受信任来源的任意腌制数据。您必须使用一些反汇编程序解析字节字符串,然后只允许受信任的模式(或阻止不受信任的模式)。我不知道有什么可以做到这一点pickle

但是,如果您的类“足够简单”……您也许可以使用JSONEncoder,它本质上将您的 python 类转换为JSON可以序列化的东西……从而验证……

如何使类 JSON 可序列化

但是,影响是您必须从JSONEncoder.

于 2014-05-29T12:01:08.297 回答