Я пытаюсь записать объект как JSON в свой Asp.Net MVC View, используя Razor, например:
<script type="text/javascript">
var potentialAttendees = @Json.Encode(Model.PotentialAttendees);
</script>Проблема в том, что в выводе кодируется JSON, а моему браузеру это не нравится. Например:
<script type="text/javascript">
var potentialAttendees = [{"Name":"Samuel Jack"},];
</script>Как мне заставить Razor выдавать незашифрованный JSON?
Ответы:
Вы делаете:
@Html.Raw(Json.Encode(Model.PotentialAttendees))В выпусках, предшествующих Beta 2, вы делали это так:
@(new HtmlString(Json.Encode(Model.PotentialAttendees)))javascriptserializerдля этого, как @Html.Raw(javascriptSerializerObjecct.Serialize(myObject))
Ньютонсофт JsonConvert.SerializeObjectведет себя не так, как Json.Encodeи делает то, что предлагает @ david-k-egghead, открывает вам возможность атак XSS .
Перенесите этот код в представление Razor, чтобы увидеть, что использование Json.Encodeбезопасно, и что Newtonsoft можно сделать безопасным в контексте JavaScript, но это не обходится без дополнительной работы.
<script>
var jsonEncodePotentialAttendees = @Html.Raw(Json.Encode(
new[] { new { Name = "Samuel Jack</script><script>alert('jsonEncodePotentialAttendees failed XSS test')</script>" } }
));
alert('jsonEncodePotentialAttendees passed XSS test: ' + jsonEncodePotentialAttendees[0].Name);
</script>
<script>
var safeNewtonsoftPotentialAttendees = JSON.parse(@Html.Raw(HttpUtility.JavaScriptStringEncode(JsonConvert.SerializeObject(
new[] { new { Name = "Samuel Jack</script><script>alert('safeNewtonsoftPotentialAttendees failed XSS test')</script>" } }), addDoubleQuotes: true)));
alert('safeNewtonsoftPotentialAttendees passed XSS test: ' + safeNewtonsoftPotentialAttendees[0].Name);
</script>
<script>
var unsafeNewtonsoftPotentialAttendees = @Html.Raw(JsonConvert.SerializeObject(
new[] { new { Name = "Samuel Jack</script><script>alert('unsafeNewtonsoftPotentialAttendees failed XSS test')</script>" } }));
alert('unsafeNewtonsoftPotentialAttendees passed XSS test: ' + unsafeNewtonsoftPotentialAttendees[0].Name);
</script>Смотрите также:
Json.EncodeНасколько я помню, он существует примерно столько же, сколько недостаток в том, что он использует реализацию Microsoft, которая выводит нестандартные даты (и может делать другие неприятные вещи). Я использую и поощряю использование Newtonsoft в JsonConvert.SerializeObjectсочетании с правильным побегом, потому что он имеет лучший выход.
Использование Newtonsoft
<script type="text/jscript">
var potentialAttendees = @(Html.Raw(Newtonsoft.Json.JsonConvert.SerializeObject(Model.PotentialAttendees)))
</script>JsonSerializerSettings.StringEscapeHandlingчтобы включить кодирование. stackoverflow.com/a/50336590/6950124