0

我知道酸洗/解酸可能存在严重的安全隐患。我打算使用酸洗作为使用 jsonpickle 在 Django 模型中存储和传输对象实例的一种方式。我还打算使用散列或签名在解封之前验证泡菜的完整性(即发送散列,然后发送泡菜,无论如何)。

由于我自己的代码将生成腌制对象,因此假设传输中的任何对象也将被加密,这种方法是否足够安全(相对或绝对)?

4

1 回答 1

0

如果您只传递 JSON(例如,由于使用了 https 连接而加密),您就消除了 pickle 固有的任意代码执行风险。您可以在使用数据之前对其进行验证。您只需要担心接受允许与您通信的某人(这就是关于身份验证)的数据。

您可以自定义 JSON 序列化它不支持您想要的类型。

例如,使用 REST API 交换 JSON 非常常见。

这看起来很安全(虽然我不是安全专家)而且更简单。

于 2019-04-18T15:22:29.623 回答