Estou tentando escrever um objeto como JSON no meu Asp.Net MVC View usando o Razor, assim:
<script type="text/javascript">
var potentialAttendees = @Json.Encode(Model.PotentialAttendees);
</script>O problema é que, na saída, o JSON é codificado e meu navegador não gosta. Por exemplo:
<script type="text/javascript">
var potentialAttendees = [{"Name":"Samuel Jack"},];
</script>Como faço para o Razor emitir JSON não codificado?
Respostas:
Você faz:
@Html.Raw(Json.Encode(Model.PotentialAttendees))Nas versões anteriores à Beta 2, você fazia o seguinte:
@(new HtmlString(Json.Encode(Model.PotentialAttendees)))javascriptserializerpara isso, como @Html.Raw(javascriptSerializerObjecct.Serialize(myObject))
O Newtonsoft's JsonConvert.SerializeObjectnão se comporta da mesma maneira Json.Encodeque o @ david-k-egghead sugere e abre os ataques XSS .
Coloque esse código em uma visualização do Razor para ver se o uso Json.Encodeé seguro e que a Newtonsoft pode ser protegida no contexto JavaScript, mas não sem trabalho extra.
<script>
var jsonEncodePotentialAttendees = @Html.Raw(Json.Encode(
new[] { new { Name = "Samuel Jack</script><script>alert('jsonEncodePotentialAttendees failed XSS test')</script>" } }
));
alert('jsonEncodePotentialAttendees passed XSS test: ' + jsonEncodePotentialAttendees[0].Name);
</script>
<script>
var safeNewtonsoftPotentialAttendees = JSON.parse(@Html.Raw(HttpUtility.JavaScriptStringEncode(JsonConvert.SerializeObject(
new[] { new { Name = "Samuel Jack</script><script>alert('safeNewtonsoftPotentialAttendees failed XSS test')</script>" } }), addDoubleQuotes: true)));
alert('safeNewtonsoftPotentialAttendees passed XSS test: ' + safeNewtonsoftPotentialAttendees[0].Name);
</script>
<script>
var unsafeNewtonsoftPotentialAttendees = @Html.Raw(JsonConvert.SerializeObject(
new[] { new { Name = "Samuel Jack</script><script>alert('unsafeNewtonsoftPotentialAttendees failed XSS test')</script>" } }));
alert('unsafeNewtonsoftPotentialAttendees passed XSS test: ' + unsafeNewtonsoftPotentialAttendees[0].Name);
</script>Veja também:
Json.Encodeexiste há tanto tempo quanto me lembro, mas a desvantagem é que ele usa a implementação da Microsoft que gera datas fora do padrão (e pode fazer outras coisas incômodas). Eu uso e incentivo o uso do Newtonsoft JsonConvert.SerializeObjectcombinado com o escape apropriado, porque ele tem uma saída melhor.
Usando Newtonsoft
<script type="text/jscript">
var potentialAttendees = @(Html.Raw(Newtonsoft.Json.JsonConvert.SerializeObject(Model.PotentialAttendees)))
</script>JsonSerializerSettings.StringEscapeHandlingpara ativar a codificação. stackoverflow.com/a/50336590/6950124