Newtonsoft.Json 与 System.Text.Json 多态反序列化的安全性差异解析

多态反序列化是处理继承结构对象序列化的常见需求，但不同 JSON 序列化库的实现机制差异会带来显著的安全风险。微软 CA2326 规则明确警示：避免使用非安全的 JsonSerializerSettings 配置（如 Newtonsoft.Json 的 TypeNameHandling 非 None 值），否则可能引发类型注入攻击。本文将对比 Newtonsoft.Json 与 System.Text.Json 在多态反序列化中的实现差异，重点分析安全性问题，并通过代码实例验证两者的安全表现。

多态反序列化的实现机制差异

Newtonsoft.Json：基于TypeNameHandling 的灵活设计

Newtonsoft.Json 通过 TypeNameHandling 配置项控制是否在 JSON 中嵌入类型元数据。当设置 TypeNameHandling 支持多态时，JSON 会携带 $type 字段（包含类型的完全限定名和程序集信息），反序列化时直接根据该字段实例化对应类型。这种设计虽然灵活支持多态，但缺乏默认的类型校验机制，攻击者可构造包含恶意类型的 JSON，触发敏感类型实例化。

System.Text.Json：多态配置的安全设计

System.Text.Json 默认不支持多态反序列化，需通过 [JsonDerivedType] 特性或 DerivedTypes 显式声明允许的派生类型。反序列化时仅处理配置过的类型，拒绝未授权的类型注入，从机制上规避了安全风险。

CA2326 规则的警示

CA2326 规则的核心是禁止使用 TypeNameHandling 非 None 值的配置 —— 攻击者可利用 $type 字段构造恶意 JSON，实例化如 ProcessStartInfo（执行系统命令）、FileStream（读写文件）等敏感类型，引发远程代码执行或数据泄露。

using Newtonsoft.Json; using Newtonsoft.Json.Serialization; using System.Diagnostics; using System.Text.Json; using System.Text.Json.Serialization; using System.Text.Json.Serialization.Metadata; namespace NewtonsoftSecurityDemo { [JsonPolymorphic(TypeDiscriminatorPropertyName = "CustomerType")] [JsonDerivedType(typeof(PaymentCompletedEvent), "PaymentCompletedEvent")] [JsonDerivedType(typeof(OrderCreatedEvent), "OrderCreatedEvent")] public class TransactionEvent { public string EventId { get; set; } = Guid.NewGuid().ToString(); public DateTime EventTime { get; set; } = DateTime.Now; public string OrderId { get; set; } // 业务扩展字段（攻击者利用的入口） public object ExtData { get; set; } } public class PaymentCompletedEvent : TransactionEvent { public decimal Amount { get; set; } public string PaymentMethod { get; set; } } public class OrderCreatedEvent : TransactionEvent { public string UserId { get; set; } public int ItemCount { get; set; } } // Newtonsoft.Json 安全绑定器（演示白名单校验） public class EventSerializationBinder : ISerializationBinder { // 仅允许的安全类型白名单 private readonly HashSet<string> _allowedTypes = new() { "NewtonsoftSecurityDemo.PaymentCompletedEvent", "NewtonsoftSecurityDemo.OrderCreatedEvent", //"System.Diagnostics.ProcessStartInfo" }; public Type BindToType(string assemblyName, string typeName) { // 仅允许白名单内的类型 if (!_allowedTypes.Contains(typeName)) { throw new NotSupportedException($"禁止反序列化未授权类型：{typeName}"); } return Type.GetType($"{typeName}, {assemblyName}") ?? typeof(TransactionEvent); } public void BindToName(Type serializedType, out string? assemblyName, out string? typeName) { assemblyName = serializedType.Assembly.FullName; typeName = serializedType.FullName; } } class Program { static void Main(string[] args) { Console.WriteLine("=== Newtonsoft.Json 命令执行攻击演示 ==="); Newtonsoft_Attack_ProcessStartInfo(); Console.WriteLine("\n=== Newtonsoft.Json 文件读取攻击演示 ==="); Newtonsoft_Attack_FileStream(); Console.WriteLine("\n=== Newtonsoft.Json 启用 SerializationBinder：安全防护演示 ==="); Newtonsoft_Secure_WithBinder(); Console.WriteLine("\n=== System.Text.Json 安全防护演示 ==="); SystemTextJson_Defense(); Console.ReadKey(); } /// <summary> /// 模拟：注入ProcessStartInfo执行系统命令 /// </summary> static void Newtonsoft_Attack_ProcessStartInfo() { string maliciousCallbackJson = @$" {{ ""$type"": ""NewtonsoftSecurityDemo.PaymentCompletedEvent, NewtonsoftSecurityDemo"", ""EventId"": ""{Guid.NewGuid()}"", ""OrderId"": ""ORD_{new Random().Next(1000, 9999)}"", ""Amount"": 999.00, ""PaymentMethod"": ""Alipay"", ""ExtData"": {{ ""$type"": ""System.Diagnostics.ProcessStartInfo,System.Diagnostics.Process"", ""FileName"": ""cmd.exe"", ""Arguments"": ""/c echo 'some scripts' > C:\temp\attack_log.txt && echo 'doing' >> C:\temp\attack_log.txt"", ""UseShellExecute"": true }} }}"; var settings = new JsonSerializerSettings { TypeNameHandling = TypeNameHandling.Auto, }; var eventData = Newtonsoft.Json.JsonConvert.DeserializeObject<TransactionEvent>(maliciousCallbackJson, settings); Console.WriteLine($"处理订单事件：{eventData.OrderId}"); if (eventData.ExtData is ProcessStartInfo psi) { Directory.CreateDirectory("C:\temp"); Process.Start(psi); Console.WriteLine($" [攻击成功] 执行命令：{psi.Arguments}"); Console.WriteLine($" [攻击结果] 生成文件：C:\temp\attack_log.txt 文件内容："); if (File.Exists("C:\temp\attack_log.txt")) { string content = File.ReadAllText("C:\temp\attack_log.txt"); Console.WriteLine($"{content}"); } } } /// <summary> /// 模拟：注入FileInfo读取敏感文件 /// </summary> static void Newtonsoft_Attack_FileStream() { string targetFile = Path.Combine(Environment.GetFolderPath(Environment.SpecialFolder.Desktop), "appsettings.json"); if (!File.Exists(targetFile)) { File.WriteAllText(targetFile, "ConnectionString: 123456"); } string maliciousExportJson = @$" {{ ""$type"": ""NewtonsoftSecurityDemo.OrderCreatedEvent, NewtonsoftSecurityDemo"", ""OrderId"": ""ORD_{new Random().Next(1000, 9999)}"", ""UserId"": ""user_{new Random().Next(100, 999)}"", ""ExtData"": {{ ""$type"": ""System.IO.FileInfo"", ""FileName"": ""{targetFile.Replace("\", "\\")}"" }} }}"; var settings = new JsonSerializerSettings { TypeNameHandling = TypeNameHandling.Auto }; var eventData = Newtonsoft.Json.JsonConvert.DeserializeObject<TransactionEvent>(maliciousExportJson, settings); Console.WriteLine($"处理订单导出：{eventData.OrderId}"); // 通过FileInfo读取文件内容（模拟攻击逻辑） if (eventData.ExtData is FileInfo fileInfo) { using (var sr = new StreamReader(fileInfo.OpenRead())) { string sensitiveContent = sr.ReadToEnd(); Console.WriteLine($" [攻击成功] 读取敏感文件内容：\n{sensitiveContent}"); } } } /// <summary> /// Newtonsoft.Json 启用SerializationBinder：拦截恶意类型 /// </summary> static void Newtonsoft_Secure_WithBinder() { string maliciousCallbackJson = @$" {{ ""$type"": ""NewtonsoftSecurityDemo.PaymentCompletedEvent, NewtonsoftSecurityDemo"", ""EventId"": ""{Guid.NewGuid()}"", ""OrderId"": ""ORD_{new Random().Next(1000, 9999)}"", ""Amount"": 999.00, ""PaymentMethod"": ""Alipay"", ""ExtData"": {{ ""$type"": ""System.Diagnostics.ProcessStartInfo,System.Diagnostics.Process"", ""FileName"": ""cmd.exe"", ""Arguments"": ""/c echo 'some scripts' > C:\temp\attack_log.txt && echo 'doing' >> C:\temp\attack_log.txt"", ""UseShellExecute"": true }} }}"; var settings = new JsonSerializerSettings { TypeNameHandling = TypeNameHandling.Auto, SerializationBinder = new EventSerializationBinder() // 启用白名单校验 }; try { var eventData = Newtonsoft.Json.JsonConvert.DeserializeObject<TransactionEvent>(maliciousCallbackJson, settings); if (eventData.ExtData is ProcessStartInfo) { Console.WriteLine(" [防护失效] 恶意类型未被拦截（异常）"); } } catch (Exception ex) { Console.WriteLine($" [防护成功] 拦截未授权类型：{ex.Message}"); } } /// <summary> /// System.Text.Json 安全防护验证 /// </summary> static void SystemTextJson_Defense() { string maliciousCallbackJson = @$" {{ ""CustomerType"": ""PaymentCompletedEvent"", ""EventId"": ""{Guid.NewGuid()}"", ""OrderId"": ""ORD_{new Random().Next(1000, 9999)}"", ""Amount"": 999.00, ""PaymentMethod"": ""Alipay"", ""ExtData"": {{ ""$type"": ""System.Diagnostics.ProcessStartInfo,System.Diagnostics.Process"", ""FileName"": ""cmd.exe"", ""Arguments"": ""/c echo 'some scripts' > C:\temp\attack_log.txt && echo 'doing' >> C:\temp\attack_log.txt"", ""UseShellExecute"": true }} }}"; var eventData = System.Text.Json.JsonSerializer.Deserialize<TransactionEvent>(maliciousCallbackJson); Console.WriteLine($" 主对象类型：{eventData.GetType().FullName}"); Console.WriteLine($" ExtData 实际类型：{eventData.ExtData.GetType().FullName}"); if (eventData.ExtData is JsonElement) { Console.WriteLine(" [防护成功] 恶意类型ProcessStartInfo被拦截，ExtData仅保留原始JSON结构，未反序列化为恶意对象"); } else if (eventData.ExtData is ProcessStartInfo) { Console.WriteLine(" [防护失效] 恶意类型解析成功"); } else { Console.WriteLine($" [正常业务] 解析到合法类型：{eventData.ExtData.GetType().FullName}"); } Console.WriteLine("\n尝试转换ExtData为ProcessStartInfo："); try { var psi = (ProcessStartInfo)eventData.ExtData; Console.WriteLine(" [防护失效] 恶意类型解析成功"); } catch (InvalidCastException ex) { Console.WriteLine($" [防护成功] 强制转换失败，原因：{ex.Message}"); } } } }

运行结果为：

通过 Demo 可以发现：

- Newtonsoft 无防护时攻击成功；

- Newtonsoft 启用 SerializationBinder 后拦截了恶意类型；

- System.Text.Json 始终拦截恶意类型，ExtData 为 JsonElement，无法转换为 ProcessStartInfo。

为什么 Newtonsoft.Json 启用 SerializationBinder 可降低风险？

先看代码：

public class EventSerializationBinder : ISerializationBinder { // 仅允许的安全类型白名单 private readonly HashSet<string> _allowedTypes = new() { "NewtonsoftSecurityDemo.PaymentCompletedEvent", "NewtonsoftSecurityDemo.OrderCreatedEvent", //"System.Diagnostics.ProcessStartInfo" }; public Type BindToType(string assemblyName, string typeName) { // 仅允许白名单内的类型 if (!_allowedTypes.Contains(typeName)) { throw new NotSupportedException($"禁止反序列化未授权类型：{typeName}"); } return Type.GetType($"{typeName}, {assemblyName}") ?? typeof(TransactionEvent); } public void BindToName(Type serializedType, out string? assemblyName, out string? typeName) { assemblyName = serializedType.Assembly.FullName; typeName = serializedType.FullName; } }

SerializationBinder 的核心作用是：接管从 JSON 中的 $type 字符串 到实际 Type 类型的映射过程，强制校验类型合法性。简单说：

- 无 SerializationBinder：反序列化器会无条件反射创建 $type 指定的任意类型，包括危险类型；

- 有 SerializationBinder：反序列化器必须经过你的自定义校验逻辑，仅允许白名单内的类型被实例化，直接阻断恶意类型的创建。

小结

Newtonsoft.Json 的 TypeNameHandling 机制虽灵活，但易被利用触发安全漏洞；System.Text.Json 通过显式多态配置白名单的设计，规避了类型注入风险。

在实际开发中，针对多态场景，建议优先使用 System.Text.Json。若必须使用 Newtonsoft.Json，需遵循以下安全实践：

- 避免使用 TypeNameHandling 非 None 值。

- 若必须启用，需严格校验 $type 字段类型的合法性，仅允许安全类型。

我希望您喜欢这篇文章，并一如既往地感谢您阅读并与朋友和同事分享我的文章。