これを念頭に置いて:
http://nedbatchelder.com/blog/201302/war_is_peace.html
.load
辞書だけでなく、クラスインスタンスを取得するためにメソッドを安全に使用する方法はありますか?
たとえば、useと同様 .safe_load
に、オブジェクトがコーシャであることを確認してから、を使用します.load
。それはいくつかのリスクを伴いますか?これは実行可能で、安全で、実用的ですか?
ちなみに、ThriftやAvroなどのフレームワークは機能するセキュリティ機能を提供しますか?ここの誰かがそれらのプロジェクトで十分に深く働き、そこでのセキュリティが対処されたかどうかを言いましたか?