Jilet kullanarak Asp.Net MVC görünümüne JSON olarak bir nesne yazmaya çalışıyorum, şöyle:
<script type="text/javascript">
var potentialAttendees = @Json.Encode(Model.PotentialAttendees);
</script>Sorun çıktıda JSON kodlanmış olması ve tarayıcım bunu sevmiyor. Örneğin:
<script type="text/javascript">
var potentialAttendees = [{"Name":"Samuel Jack"},];
</script>Razor'un kodlanmamış JSON yaymasını nasıl sağlarım?
Yanıtlar:
Siz yapıyorsunuz:
@Html.Raw(Json.Encode(Model.PotentialAttendees))Beta 2'den önceki sürümlerde şunları beğendiniz:
@(new HtmlString(Json.Encode(Model.PotentialAttendees)))javascriptserializeriçin kullanabilirsiniz@Html.Raw(javascriptSerializerObjecct.Serialize(myObject))
Newtonsoft's JsonConvert.SerializeObjectaynı şekilde davranmaz Json.Encodeve @ david-k-egghead'in önerdiğini yapmak sizi XSS saldırılarına kadar açar .
Kullanmanın Json.Encodegüvenli olduğunu ve Newtonsoft'un JavaScript bağlamında güvenli hale getirilebileceğini, ancak fazladan bir çalışma yapılmadığını görmek için bu kodu bir Razor görünümüne bırakın .
<script>
var jsonEncodePotentialAttendees = @Html.Raw(Json.Encode(
new[] { new { Name = "Samuel Jack</script><script>alert('jsonEncodePotentialAttendees failed XSS test')</script>" } }
));
alert('jsonEncodePotentialAttendees passed XSS test: ' + jsonEncodePotentialAttendees[0].Name);
</script>
<script>
var safeNewtonsoftPotentialAttendees = JSON.parse(@Html.Raw(HttpUtility.JavaScriptStringEncode(JsonConvert.SerializeObject(
new[] { new { Name = "Samuel Jack</script><script>alert('safeNewtonsoftPotentialAttendees failed XSS test')</script>" } }), addDoubleQuotes: true)));
alert('safeNewtonsoftPotentialAttendees passed XSS test: ' + safeNewtonsoftPotentialAttendees[0].Name);
</script>
<script>
var unsafeNewtonsoftPotentialAttendees = @Html.Raw(JsonConvert.SerializeObject(
new[] { new { Name = "Samuel Jack</script><script>alert('unsafeNewtonsoftPotentialAttendees failed XSS test')</script>" } }));
alert('unsafeNewtonsoftPotentialAttendees passed XSS test: ' + unsafeNewtonsoftPotentialAttendees[0].Name);
</script>Ayrıca bakınız:
Json.Encodehatırlayabildiğim kadarıyla oldu, ama olumsuz, standart olmayan tarihler (ve diğer rahatsız edici şeyler yapabilir) Microsoft'un uygulamasını kullanmasıdır. Daha JsonConvert.SerializeObjectiyi bir çıktıya sahip olduğu için Newtonsoft'un uygun kaçışla birlikte kullanılmasını ve kullanılmasını teşvik ediyorum .
Newtonsoft'u kullanma
<script type="text/jscript">
var potentialAttendees = @(Html.Raw(Newtonsoft.Json.JsonConvert.SerializeObject(Model.PotentialAttendees)))
</script>JsonSerializerSettings.StringEscapeHandlingkodlamayı etkinleştirmek için. stackoverflow.com/a/50336590/6950124