J'essaie d'écrire un objet au format JSON sur ma vue Asp.Net MVC en utilisant Razor, comme ceci:
<script type="text/javascript">
var potentialAttendees = @Json.Encode(Model.PotentialAttendees);
</script>
Le problème est que dans la sortie, le JSON est encodé et mon navigateur ne l'aime pas. Par exemple:
<script type="text/javascript">
var potentialAttendees = [{"Name":"Samuel Jack"},];
</script>
Comment faire pour que Razor émette du JSON non codé?
Réponses:
Tu fais:
@Html.Raw(Json.Encode(Model.PotentialAttendees))Dans les versions antérieures à la bêta 2, vous faisiez comme:
@(new HtmlString(Json.Encode(Model.PotentialAttendees)))javascriptserializerpour cela comme @Html.Raw(javascriptSerializerObjecct.Serialize(myObject))
Newtonsoft JsonConvert.SerializeObjectne se comporte pas de la même manière Json.Encodeet faire ce que @ david-k-egghead suggère vous ouvre aux attaques XSS .
Déposez ce code dans une vue Razor pour voir que l'utilisation Json.Encodeest sûre et que Newtonsoft peut être sécurisé dans le contexte JavaScript, mais n'est pas sans travail supplémentaire.
<script>
var jsonEncodePotentialAttendees = @Html.Raw(Json.Encode(
new[] { new { Name = "Samuel Jack</script><script>alert('jsonEncodePotentialAttendees failed XSS test')</script>" } }
));
alert('jsonEncodePotentialAttendees passed XSS test: ' + jsonEncodePotentialAttendees[0].Name);
</script>
<script>
var safeNewtonsoftPotentialAttendees = JSON.parse(@Html.Raw(HttpUtility.JavaScriptStringEncode(JsonConvert.SerializeObject(
new[] { new { Name = "Samuel Jack</script><script>alert('safeNewtonsoftPotentialAttendees failed XSS test')</script>" } }), addDoubleQuotes: true)));
alert('safeNewtonsoftPotentialAttendees passed XSS test: ' + safeNewtonsoftPotentialAttendees[0].Name);
</script>
<script>
var unsafeNewtonsoftPotentialAttendees = @Html.Raw(JsonConvert.SerializeObject(
new[] { new { Name = "Samuel Jack</script><script>alert('unsafeNewtonsoftPotentialAttendees failed XSS test')</script>" } }));
alert('unsafeNewtonsoftPotentialAttendees passed XSS test: ' + unsafeNewtonsoftPotentialAttendees[0].Name);
</script>
Voir également:
Json.Encodea été aussi longtemps que je me souvienne, mais l'inconvénient est qu'il utilise l'implémentation de Microsoft qui produit des dates non standard (et peut faire d'autres choses gênantes). J'utilise et j'encourage l'utilisation de Newtonsoft JsonConvert.SerializeObjectcombinée avec un échappement approprié car il a un meilleur rendement.
Utilisation de Newtonsoft
<script type="text/jscript">
var potentialAttendees = @(Html.Raw(Newtonsoft.Json.JsonConvert.SerializeObject(Model.PotentialAttendees)))
</script>
JsonSerializerSettings.StringEscapeHandlingpour activer l'encodage. stackoverflow.com/a/50336590/6950124