मेरे पास जावास्क्रिप्ट एप्लिकेशन है, जहां मैं क्लाइंट-साइड टेम्पलेट्स (underscore.js, Backbone.js) का उपयोग करता हूं। प्रारंभिक पृष्ठ लोड के लिएJson.encode विशेष प्रतीकों u003c MVC3
डाटा इस तरह पेज में तंगी है (.cshtml उस्तरा-फाइल):
<div id="model">@Json.Encode(Model)</div>
उस्तरा इंजन बचने निष्पादित करता है, इसलिए, अगर Model
new { Title = "<script>alert('XSS');</script>" }
है, उत्पादन में हमने:
<div id="model">{"Title":"\u003cscript\u003ealert(\u0027XSS\u0027)\u003c/script\u003e"}</div>
जिसके बाद "पार्स" ऑपरेशन:
var data = JSON.parse($("#model").html());
हम "Title"
क्षेत्र वास्तव में "<script>alert('XSS');</script>"
के साथ वस्तु डेटा है!
जब यह अंडरस्कोर टेम्पलेट पर जाता है, तो यह अलर्ट होता है।
किसी भी तरह \u003c-
प्रतीकों की तरह उचित "<
" प्रतीकों की तरह व्यवहार किया जाता है।
मैं <
और >
से डीबी से "<
" प्रतीकों से कैसे बचूं (यदि वे किसी भी तरह वहां पहुंचे हैं)?
शायद मैं इन प्रतीकों से बचने के लिए Json.Encode
क्रमबद्धता को ट्यून कर सकता हूं? शायद मैं Entity Framework
स्थापित कर सकता हूं जिसका उपयोग मैं कर रहा हूं, डीबी से डेटा प्राप्त करते समय बिल्कुल इन प्रतीकों से बचने के लिए?
यदि आप '
आप unencoded सामग्री लिखने के लिए चाहते हैं तो आप Html.Raw() सहायक का उपयोग करने की आवश्यकता होगी:
संपादित करें:
मुझे लगता है, शायद मैं समझ नहीं कर रहा हूँ तुम्हारी समस्या क्या है। एक परीक्षण नियंत्रक के भीतर उदाहरण के लिए मैं
निम्नलिखित है संबंधित ध्यान में रखते हुए:
कौन सा कंसोल के लिए बारी आउटपुट में:
और चेतावनी खोलता है।
स्रोत
2012-02-23 03:09:22 Jesse
नहीं, वास्तव में मैं एन्कोडेड सामग्री लिखना चाहता हूं। मैं स्क्रिप्ट चलाने से बचने के लिए डीबी से "<" जैसे प्रतीकों को एन्कोड करना चाहता हूं। समस्या यह है कि, RAZOR-एन्कोडिंग-तंत्र यहां मदद नहीं करता है, जब Html.Raw का उपयोग किया जाता है, हमें यह मिलता है: {"शीर्षक": "\ u003cscript \ u003ealert (\ u0027XSS \ u0027) \ u003c/script \ u003e"} – Roman
वहां अभी भी \ u003c प्रतीकों हैं जो जेएस में उचित "<" प्रतीक की तरह व्यवहार करते हैं। रेजर इंजन उन्हें एन्कोड नहीं कर सकता है। (Somewhy।) – Roman
@Roman, शायद मैं आपकी समस्या को समझ नहीं पा रहा हूं क्योंकि अलर्ट परीक्षण से ठीक से काम कर रहा है, मैं अभी भाग गया? – Jesse
आपको अंडरस्कोर को प्रदान करने से पहले HTML के रूप में अपनी स्ट्रिंग को एन्कोड करने की आवश्यकता है।
"HTML escaping in Underscore.js templates" बताता है कि यह कैसे करें।
स्रोत
2012-02-23 06:10:55
आपके उत्तर के लिए धन्यवाद, यह एक तरीका है। लेकिन इसे हर टेम्पलेट में क्लाइंट पर हर बार इसका इस्तेमाल याद रखना होगा। मैं सर्वर पर ऐसा करने का कोई तरीका ढूंढ रहा था, शायद किसी भी तरह से serialization '(@ Json.Encode (मॉडल)) को कॉन्फ़िगर करना। – Roman