aspnet:MaxJsonDeserializerMembers vs maxRequestLength

Question

我遇到了像这样的错误，JSON请求太大，无法反序列化.。

快速搜索堆栈溢出会告诉您，应该将aspnet:MaxJsonDeserializerMembers设置为appSetting更高，以解决此问题。然而，关于msdn的appSettings文档说

  Caution
  Setting this attribute to too large a number can pose a security risk.

我希望提醒您不要将此值设置为更高的数字，以防止任何人提交可能影响您的系统的大型有效载荷。但是，考虑到我已经将maxRequestLength的值设置为大量，更改aspnet:MaxJsonDeserializerMembers值还会产生其他安全影响吗？

我看不出1001个小型json成员如何能够像单个大型json对象那样构成更多的安全威胁。

Answer 1

ASP.NET应用程序拒绝这些元素超过1000个的请求。

https://support.microsoft.com/en-us/kb/2661403

安全公告MS11-100地址的Microsoft安全更新将ASP.NET在请求中接受的表单键、文件和JSON成员的默认最大数量更改为1,000。作出此更改是为了解决微软安全公告MS11-100文件。存在的拒绝服务漏洞