aspnet:MaxJsonDeserializerMembers 与 maxRequestLength

Posted

技术标签:

【中文标题】aspnet:MaxJsonDeserializerMembers 与 maxRequestLength【英文标题】:aspnet:MaxJsonDeserializerMembers vs maxRequestLength 【发布时间】:2015-10-30 03:47:42 【问题描述】:

我遇到了诸如 JSON 请求太大而无法反序列化之类的错误。

*** 上的快速搜索告诉您应该将 appSetting aspnet:MaxJsonDeserializerMembers 设置为更高以解决问题。但是,appSettings 上的 msdn 文档说

  Caution
  Setting this attribute to too large a number can pose a security risk.

我希望您注意不要将此值设置为更高的数字,以防止任何人提交可能影响您的系统的大型负载。但是,鉴于我已经将 ma​​xRequestLength 的值设置为一个很大的数字,更改 aspnet:MaxJsonDeserializerMembers 值是否会产生任何其他安全隐患?

我看不出 1001 个小型 json 成员如何构成比单个大型 json 对象更多的安全威胁。

【问题讨论】:

【参考方案1】:

ASP.NET 应用程序拒绝包含超过 1000 个这些元素的请求。

https://support.microsoft.com/en-us/kb/2661403

安全公告 MS11-100 解决的 Microsoft 安全更新将 ASP.NET 在请求中接受的表单密钥、文件和 JSON 成员的默认最大数量更改为 1,000。进行此更改是为了解决 Microsoft 安全公告 MS11-100 documents. 中的拒绝服务漏洞

【讨论】:

以上是关于aspnet:MaxJsonDeserializerMembers 与 maxRequestLength的主要内容,如果未能解决你的问题,请参考以下文章