这Python doc人说:
默认情况下,str and bytes个对象的
__hash__()个值将使用不可预测的随机值进行"加盐".尽管它们在单独的Python进程中保持不变,但在重复调用Python之间是不可预测的. 这旨在提供保护,防止由精心 Select 的输入引起的拒绝服务,这些输入利用了字典插入的最坏情况性能,O(n2)复杂性.
但the algorithm used for computing hash()%的数字是确定性的.(它只对字符串和字节使用SALT).出于同样的原因,为什么攻击者不能使用整数来运行DoS?
PythonBug跟踪器(Issue 13703)捕捉到了导致这个 Select 的许多讨论.
特别重要的因素是:
JSON和XML-RPC消息总是用字符串而不是int解释为Dict键.(参见来自主题JSON和XML-RPC的相关消息.)因此,在最可信的安全威胁上下文中(在Web上的服务中发出的请求),int散列被认为不太可能导致问题.在这一点上并没有JSON%的共识:this message has a dissenting view.
"使用更复杂的散列算法会减慢使用 数字作为字典关键字,也很难实现 非整数类型,如浮点数、长整型和复数.
基本上,获胜的观点是,更改的安全优势胜过了对字符串和bytes对象的性能影响,而不是对数字类型的影响.