默认情况下，当使用simplejson（Django使用的默认反序列化程序）时，可以从JSON转换为Python对象的对象类型是有限的。唯一的办法是，如果您正在使用^{}或{a3}方法或您自己的^{}对象的可选参数进行某种特殊解码。在

所以，只要你使用默认解码，你就很安全了。但是，如果您真的很担心，您应该在实际操作之前验证加载的JSON数据。在

我很难找出您认为JSON的不安全（或安全性）是什么。在

JSON是一种基于文本的数据交换格式。它没有任何内置的安全性。Django附带了一些函数来将查询集序列化和反序列化为JSON。但这些不能是“恶意的”或“不安全的”——它们只是数据。在

有些序列化协议（如pickling）可能不安全，因为它们可能包含代码，因此可能会反序列化以运行对系统有害的内容。序列化模型没有这个问题，因为它们不包含代码。在

当然，如果您使用JSON（例如）传递要删除的模型id列表，那么恶意用户就有可能包含一大堆您不想删除的id。但这又不是JSON的错——由您来确保您的业务逻辑正确地确定允许用户删除或修改哪些元素。在