আমি রেজার ব্যবহার করে আমার এসপ নেট নেট এমভিসি ভিউতে JSON হিসাবে কোনও অবজেক্ট লেখার চেষ্টা করছি:
<script type="text/javascript">
var potentialAttendees = @Json.Encode(Model.PotentialAttendees);
</script>সমস্যাটি হ'ল আউটপুটে JSON এনকোড করা আছে, এবং আমার ব্রাউজারটি এটি পছন্দ করে না। উদাহরণ স্বরূপ:
<script type="text/javascript">
var potentialAttendees = [{"Name":"Samuel Jack"},];
</script>আনজারডবিহীন জেএসওএন নির্গত করতে আমি রেজারকে কীভাবে পাব?
উত্তর:
তুমি কর:
@Html.Raw(Json.Encode(Model.PotentialAttendees))বিটা 2 এর আগে রিলিজগুলিতে আপনি এটি পছন্দ করেছেন:
@(new HtmlString(Json.Encode(Model.PotentialAttendees)))javascriptserializerজন্য ব্যবহার করতে পারেন@Html.Raw(javascriptSerializerObjecct.Serialize(myObject))
@ ডেভিড-কে- ইগহেড পরামর্শ দেয় যে নিউটনসফটস এর JsonConvert.SerializeObjectমতো আচরণ করে না Json.Encodeএবং এক্সএসএস আক্রমণ পর্যন্ত আপনাকে উন্মুক্ত করে ।
এই কোডটি একটি রেজার ভিউতে ফেলে দেখুন যে Json.Encodeব্যবহারটি নিরাপদ এবং নিউটোনসফটটিকে জাভাস্ক্রিপ্ট প্রসঙ্গে নিরাপদ করা যায় তবে কিছু অতিরিক্ত কাজ ছাড়াই নয়।
<script>
var jsonEncodePotentialAttendees = @Html.Raw(Json.Encode(
new[] { new { Name = "Samuel Jack</script><script>alert('jsonEncodePotentialAttendees failed XSS test')</script>" } }
));
alert('jsonEncodePotentialAttendees passed XSS test: ' + jsonEncodePotentialAttendees[0].Name);
</script>
<script>
var safeNewtonsoftPotentialAttendees = JSON.parse(@Html.Raw(HttpUtility.JavaScriptStringEncode(JsonConvert.SerializeObject(
new[] { new { Name = "Samuel Jack</script><script>alert('safeNewtonsoftPotentialAttendees failed XSS test')</script>" } }), addDoubleQuotes: true)));
alert('safeNewtonsoftPotentialAttendees passed XSS test: ' + safeNewtonsoftPotentialAttendees[0].Name);
</script>
<script>
var unsafeNewtonsoftPotentialAttendees = @Html.Raw(JsonConvert.SerializeObject(
new[] { new { Name = "Samuel Jack</script><script>alert('unsafeNewtonsoftPotentialAttendees failed XSS test')</script>" } }));
alert('unsafeNewtonsoftPotentialAttendees passed XSS test: ' + unsafeNewtonsoftPotentialAttendees[0].Name);
</script>আরো দেখুন:
Json.Encodeযতক্ষণ না আমি মনে করতে পারি ততক্ষণ ধরে চলে গেছে তবে ক্ষয়ক্ষতিটি হ'ল এটি মাইক্রোসফ্টের প্রয়োগ প্রয়োগ করে যা অ-মানক তারিখকে ছাড়িয়ে যায় (এবং অন্যান্য উদ্বেগজনক জিনিসগুলি করতে পারে)। আমি নিউটোনসফ্টের ব্যবহারকে JsonConvert.SerializeObjectযথাযথ পালানোর সাথে মিলিত করতে এবং উত্সাহিত করি কারণ এর আরও ভাল ফলাফল রয়েছে।
নিউটনসফট ব্যবহার করা হচ্ছে
<script type="text/jscript">
var potentialAttendees = @(Html.Raw(Newtonsoft.Json.JsonConvert.SerializeObject(Model.PotentialAttendees)))
</script>JsonSerializerSettings.StringEscapeHandlingএনকোডিং সক্ষম করতে আপনি ওভাররাইড করতে পারেন । stackoverflow.com/a/50336590/6950124