Comment puis-je écrire clair Json de mon point de Vue à l'aide de Rasoir?

Je suis en train d'écrire un objet JSON à mon Asp.Net MVC Vue à l'aide d'un Rasoir, comme suit:

<script type="text/javascript">
  var potentialAttendees = @Json.Encode(Model.PotentialAttendees);
</script>

Le problème est que dans la sortie le JSON est codé, et mon navigateur ne l'aime pas. Par exemple:

<script type="text/javascript">
    var potentialAttendees = [{&quot;Name&quot;:&quot;Samuel Jack&quot;},];
</script>

Comment puis-je obtenir Rasoir à émettre de manière non codée JSON?

InformationsquelleAutor Samuel Jack | 2010-11-01
  1. 185

    Vous n':

    @Html.Raw(Json.Encode(Model.PotentialAttendees))

    Dans des versions antérieures à la version Bêta 2, vous avez comme:

    @(new HtmlString(Json.Encode(Model.PotentialAttendees)))
    • Que puis-je faire si je veux un texte codé dans mon propriétés des objets? \,{\"UrlPart\":\"TjcolklFX5c\",\"Title\":\"Quand Maman N'est\u0027t Maison\"},{\" Par exemple. Ce sera briser à cause js pense que l' 'est de s'échapper de la chaîne de manière native decalration du var a = ''en va de même pour" ". anny idée ?
    • vous pouvez utiliser javascriptserializer pour que, comme @Html.Raw(javascriptSerializerObjecct.Serialize(myObject))
    • Nous sommes en 2017, en utilisant MVC 5 et cette réponse, c'est toujours parfait!
    • Cette réponse est le seul qui fonctionne parfaitement. Merci!
    InformationsquelleAutor Lorenzo
  2. 40

    Newtonsoft de JsonConvert.SerializeObject ne se comportent pas de la même chose que Json.Encode et de faire ce que @david-k-tête d'oeuf suggère vous ouvre de les attaques XSS.

    Chute de ce code dans un Rasoir pour voir que l'utilisation de Json.Encode est sûr, et que Newtonsoft peut être faite sans danger dans le contexte JavaScript, mais n'est pas sans un certain travail supplémentaire.

    <script>
    var jsonEncodePotentialAttendees = @Html.Raw(Json.Encode(
        new[] { new { Name = "Samuel Jack</script><script>alert('jsonEncodePotentialAttendees failed XSS test')</script>" } }
    ));
    alert('jsonEncodePotentialAttendees passed XSS test: ' + jsonEncodePotentialAttendees[0].Name);
</script>
<script>
    var safeNewtonsoftPotentialAttendees = JSON.parse(@Html.Raw(HttpUtility.JavaScriptStringEncode(JsonConvert.SerializeObject(
        new[] { new { Name = "Samuel Jack</script><script>alert('safeNewtonsoftPotentialAttendees failed XSS test')</script>" } }), addDoubleQuotes: true)));
    alert('safeNewtonsoftPotentialAttendees passed XSS test: ' + safeNewtonsoftPotentialAttendees[0].Name);
</script>
<script>
    var unsafeNewtonsoftPotentialAttendees = @Html.Raw(JsonConvert.SerializeObject(
        new[] { new { Name = "Samuel Jack</script><script>alert('unsafeNewtonsoftPotentialAttendees failed XSS test')</script>" } }));
    alert('unsafeNewtonsoftPotentialAttendees passed XSS test: ' + unsafeNewtonsoftPotentialAttendees[0].Name);
</script>

    Voir aussi:

    • Avez-vous une idée de quand ils ont ajouté Json.Encoder? Je n'étais pas au courant il y a effectivement un moyen sûr pour insérer json sur la page et je sais que j'ai fait beaucoup de recherches dans le passé.
    • Json.Encode a été aussi longtemps que je me souvienne, mais l'inconvénient est qu'il utilise Microsoft de la mise en œuvre des sorties non-standard dates (et peut faire d'autres choses désagréables). - Je l'utiliser ou encourager l'utilisation de Newtonsoft de JsonConvert.SerializeObject combinée avec la bonne échapper car il a une meilleure sortie.
    • Heureux, je défile vers le bas. Immédiatement, j'ai vu la accepté de répondre, je l'espère, il y avait un moyen sûr de le faire.
    • Le HttpUtility.JavaScriptStringEncode version encode également les marques de devis dans le JSON, le rendant invalide si elle est utilisée directement dans un script[type='application/json'], ce qui est dommage.
    • Note pour l'avenir de l'auto: celui que vous souhaitez utiliser est: @Html.Raw(Json.Encode( ))
    • Est-il un moyen de vérifier que le Json.Encoder les poignées de référence des boucles correctement?
    • Je vous suggère d'utiliser JsonConvert et passer JsonSerializerSettings avec ReferenceLoopHandling la manipulation de la valeur qui répond à vos besoins. Pas sûr de ce que tu veux dire par "correctement". La manipulation de quelque chose de "bien" varie d'un cas à l'autre. De sorte que vous devez être plus précis sur ce qui ne fonctionne pas et comment vous voulez qu'il allait travailler.

    InformationsquelleAutor Jeremy Cook
  3. 11

    À L'Aide De Newtonsoft

    <script type="text/jscript">
  var potentialAttendees  = @(Html.Raw(Newtonsoft.Json.JsonConvert.SerializeObject(Model.PotentialAttendees)))
</script>
    • C'est potentiellement vulnérable aux failles XSS qui Json.Encoder des corrections, mais vous pouvez remplacer le JsonSerializerSettings.StringEscapeHandling pour permettre l'encodage. stackoverflow.com/a/50336590/6950124
    InformationsquelleAutor Ravi Ram