JSONシリアライゼーションおよびデシリアライゼーションのためのPythonのjsonpickleモジュールのドキュメントでは、次のように述べています
信頼できないソースからの JSON 文字列の読み込みは、潜在的なセキュリティの脆弱性を表しています。jsonpickle は入力のサニタイズを試みません
しかし、JSON メッセージを介して攻撃者が任意のコードを実行できるのはなぜでしょうか?
また、ドキュメントで提案されているように、入力をサニタイズする最良の方法は何ですか? アプリケーションの JSON データは信頼できません (JSON メッセージを送信するクライアントからのものです)。