Newtonsoft.Json 与 System.Text.Json 多态反序列化的安全性差异解析

本文将对比 Newtonsoft.Json 与 System.Text.Json 在多态反序列化中的实现差异，重点分析安全性问题，并通过代码实例验证两者的安全表现。这种设计虽然灵活支持多态，但缺乏默认的类型校验机制，攻击者可构造包含恶意类型的 JSON，触发敏感类型实例化。反序列化时仅处理配置过的类型，拒绝未授权的类型注入，从机制上规避了安全风险。- 有...