- xml - AJAX/Jquery XML 解析
- 具有多重继承的 XML 模式
- .net - 枚举序列化 Json 与 XML
- XML 简单类型、简单内容、复杂类型、复杂内容
我有 JavaScript 应用程序,我在其中使用客户端模板(underscore.js、Backbone.js)。
初始页面加载的数据像这样绑定(bind)到页面中(.cshtml Razor 文件):
<div id="model">@Json.Encode(Model)</div>
Razor 引擎执行转义,因此,如果 Model
是
new { Title = "<script>alert('XSS');</script>" }
,在输出中我们有:
<div id="model">{"Title":"\u003cscript\u003ealert(\u0027XSS\u0027)\u003c/script\u003e"}</div>
在“解析”操作之后:
var data = JSON.parse($("#model").html());
我们有 "Title"
的对象数据字段恰好 "<script>alert('XSS');</script>"
!
当这转到下划线模板时,它会发出警报。
不知何故\u003c-
类似的符号被视为正确的“<
”符号。
如何将“<
”符号转义为<
和 >
来自 DB(如果他们以某种方式到达那里)?
也许我可以调整 Json.Encode
转义这些符号的序列化?也许我可以设置Entity Framework
我正在使用它,以便在从数据库获取数据时始终绝对自动转义这些符号?
最佳答案
\u003c 和类似代码对 JS 完全有效。如果您愿意,可以使用此语法混淆整个 JS 文件。本质上,您会看到一个转义字符\,u 代表 unicode,然后是一个与符号相关的 4 个字符的十六进制代码。
http://javascript.about.com/library/blunicode.htm
\u003c - 如您所见,是 < 字符。
在 MVC 端“修复”此问题的一种方法是编写一个 RegEx 来查找模式\u - 然后捕获接下来的 4 个字符。然后您可以将它们取消编码为实际的 unicode 字符 - 并通过您的 XSS 预防算法运行生成的文本。
正如您在问题中指出的那样 - 仅查找“<”无济于事。您也不能只查找“\u003cscript”——因为这假设潜在的黑客没有简单地对整个“script”标记词进行 unicode 编码。更安全的方法是取消转义所有这些类型的代码,然后以纯文本形式清理 HTML。
顺便说一句,注意到这是 XSS 预防中的常见(且迄今未得到很好解决的)问题之一可能会让您感觉更好。因此,您并不是唯一想要更好解决方案的人...
您可以查看以下库以帮助进行实际的 html 清理:
http://wpl.codeplex.com/ (微软的解决方案尝试 - 尽管用户反馈非常糟糕) https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project_.NET (一个旨在进行大量此类预防的私有(private)项目。我发现它很难使用,并且在 .NET 中实现不佳)
不过,两者都是很好的引用。
关于javascript - Json.encode 特殊符号\u003c MVC3,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9404951/
我有一个我想暂时存储的对象。该对象现在在 Controller 中, Controller 将生成一个 View 。 AJAX 请求从 View 发送到下一个 Controller 。那一刻我需要先前
从MVC 2开始,我们可以轻松创建区域。现在,我的问题与嵌套区域(区域内部的区域)有关。 选择我的“father”区域文件夹,右键单击> Add> NO选项以获取new Area。 是否有可能以其他方
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve thi
我已经尝试了一些谷歌搜索和堆栈流搜索,但事实证明这比我想象的要难找到。我需要为我们的商店迁移到 ASP.NET MVC 2 的管理提供理由。最大的帮助将是任何企业级站点或使用 ASP.NET MVC
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 6 年前。 Improv
我有一些常见的网页,它们将出现在多个 MVC 应用程序中。对于这些页面,我想在不同的 MVC 网站之间重用相同的源代码( Controller + View )。这样做的最佳方法是什么? ASP.NE
我正在使用 Spring MVC 来构建我的应用程序。 当用户在浏览器中运行应用程序时,我想显示一个默认的 jsp。我不想用 web.xml 中的标记。 我想我可以用 我已经创建了一个文件夹并添
我可能在这里分析过度了,但是根据我对 MVC 的阅读,似乎有很多关于如何做事情的观点。 是否有一个“最佳实践”网站或文档来定义 MVC 各个部分的职责? 请记住,我使用 EF/Repository&U
当杰里米和查德 posted about their FubuMvc project ,他们提到的差异化因素之一是他们的“雷霆穹顶校长”: The “Thunderdome Principle” –
我正在为 Spring MVC 应用程序实现缓存清除系统。 为了让这个系统正常工作,我必须从给定的 url 中删除“缓存破坏代码”。假设我生成的缓存破坏代码是“123”,我有一个 .css url:/
在调试 ASP.NET MVC 源时,我发现使用了“MVC-ControllerTypeCache.xml” 文件。但我无法理解这个文件的用途。我的意思是这个文件存储在哪里?asp.net MVc 如
我刚刚在我的本地机器上安装了 Visual Studio 11 和 MVC 4 beta。但是,每当我打开一个 MVC 3 项目(我想保留为 MVC 3)时,所有引用都已更新为版本 4 DLL。当然它
我有一个 MVC 3 应用程序,它具有一些核心功能(最重要的是自动化),但主要用作不同区域或模块的门户。我想将它组织到不同的模块中,只需稍作更改也可以部署为他们自己的网站。 该项目由论坛、博客引擎、用
我有自己的服务器,正在考虑将我的一个解决方案升级到 ASP.NET MVC 4,然后再升级其余的 (3+)。 作为其中的一部分,我下载了 the standalone installer对于 ASP.
构图 我有一个 MVC 项目,其中包含 C# 类,这些类最终通过 ajax 等进行序列化和使用。我使用 TypeLite 生成这些 C# 类的定义( here 讨论了 TypeLite 的替代方案),
我正在尝试了解现代 Web 应用程序架构。在 ASP.NET MVC 中,所有业务逻辑类都在 Model 中,Controller 接受并引导用户请求。如果我使用它,是否可以使用本身是 MVC 架构但
我有一个带有 OWIN 的 WebAPI 2 应用程序。现在我正在尝试向所有内容添加一个 MVC 5 Controller ,但没有找到我的 MVC 路由。我收到以下错误: No HTTP resou
在 MVC 3 中,他们添加了我一直在使用的依赖解析器。在回答某人对您发表评论的问题时,您应该使用 Ninject MVC 3 插件。 所以我的问题是为什么要使用它而不是内置的?如果这是要走的路,你如
我是 ASP.NET MVC 的新手,我正在寻找最不痛苦的方法来设置全局错误处理、日志记录和报告(通过电子邮件)。仅供引用,我的 ASP.NET MVC 应用程序在 Azure 中作为 Web 角色托
何时使用 MVC View 页面和 MVC View 内容页面?它们有什么区别? 最佳答案 **MVC View Page 用于创建页面,MVC VewP Content Page 用于创建页面并指定
我是一名优秀的程序员,十分优秀!