Я намагаюся записати об’єкт як JSON на мій перегляд MVC Asp.Net за допомогою Razor, наприклад:
<script type="text/javascript">
var potentialAttendees = @Json.Encode(Model.PotentialAttendees);
</script>Проблема полягає в тому, що на виході JSON закодований, і моєму браузеру це не подобається. Наприклад:
<script type="text/javascript">
var potentialAttendees = [{"Name":"Samuel Jack"},];
</script>Як змусити Бритву випромінювати незашифрований JSON?
Відповіді:
Ти робиш:
@Html.Raw(Json.Encode(Model.PotentialAttendees))У випусках раніше, ніж Beta 2, ви зробили це так:
@(new HtmlString(Json.Encode(Model.PotentialAttendees)))javascriptserializerдля подібного @Html.Raw(javascriptSerializerObjecct.Serialize(myObject))
Ньютонсофт JsonConvert.SerializeObjectведе себе не так, як Json.Encodeі те, що пропонує @ david-k-egghead відкриває вас до XSS-атак .
Закиньте цей код у вигляд «Бритви», щоб побачити, що використання Json.Encodeбезпечно, і що Newtonsoft може бути безпечним у контексті JavaScript, але це не обійдеться без додаткових робіт.
<script>
var jsonEncodePotentialAttendees = @Html.Raw(Json.Encode(
new[] { new { Name = "Samuel Jack</script><script>alert('jsonEncodePotentialAttendees failed XSS test')</script>" } }
));
alert('jsonEncodePotentialAttendees passed XSS test: ' + jsonEncodePotentialAttendees[0].Name);
</script>
<script>
var safeNewtonsoftPotentialAttendees = JSON.parse(@Html.Raw(HttpUtility.JavaScriptStringEncode(JsonConvert.SerializeObject(
new[] { new { Name = "Samuel Jack</script><script>alert('safeNewtonsoftPotentialAttendees failed XSS test')</script>" } }), addDoubleQuotes: true)));
alert('safeNewtonsoftPotentialAttendees passed XSS test: ' + safeNewtonsoftPotentialAttendees[0].Name);
</script>
<script>
var unsafeNewtonsoftPotentialAttendees = @Html.Raw(JsonConvert.SerializeObject(
new[] { new { Name = "Samuel Jack</script><script>alert('unsafeNewtonsoftPotentialAttendees failed XSS test')</script>" } }));
alert('unsafeNewtonsoftPotentialAttendees passed XSS test: ' + unsafeNewtonsoftPotentialAttendees[0].Name);
</script>Дивитися також:
Json.Encodeя існував так довго, як я пам'ятаю, але недоліком є те, що він використовує реалізацію Microsoft, яка виводить нестандартні дати (і може робити інші клопітні речі). Я використовую і заохочую використання Newtonsoft у JsonConvert.SerializeObjectпоєднанні з правильним втечею, оскільки він має кращий вихід.
Використання Newtonsoft
<script type="text/jscript">
var potentialAttendees = @(Html.Raw(Newtonsoft.Json.JsonConvert.SerializeObject(Model.PotentialAttendees)))
</script>JsonSerializerSettings.StringEscapeHandlingщоб увімкнути кодування. stackoverflow.com/a/50336590/6950124