Wenn ein JSON-Objekt/String mit nicht vertrauenswürdigen Daten (z. B. eingesetzter zusätzlicher Schlüssel) injiziert wurde, führt GSON eine sichere Serialisierung durch, die nicht vertrauenswürdige Daten abgrenzt und entkommt?Führt GSON eine sichere Serialisierung durch?
Als Beispiel für injizierten JSON sehen Sie bitte link (obwohl es auf C# ist).
Hier ist, wie ich die empfangenen Daten bin Parsen:
T object = gson.<T>fromJson(sampleString, modelObject);
ich nicht wirklich bewusst bin, wie eine sichere Serialisierung oder abgrenzt nicht vertrauenswürdige Daten arbeitet. Vorschläge/Referenzen, die damit verbunden sind, werden sehr geschätzt.
Bitte erläutern Sie, was "sichere Serialisierung" in diesem Zusammenhang bedeuten würde. Sie können beispielsweise Ihre Frage so bearbeiten, dass ein [mcve] bereitgestellt wird, in dem Sie JSON anzeigen, dem "nicht vertrauenswürdige Daten hinzugefügt wurden", zusammen mit Ihrem Java-Code, der Gson zum Parsen dieses JSON verwendet. – CommonsWare
Bitte lesen Sie die aktualisierte Frage. – sticky