Jak napisać niezakodowane Json do mojego widoku przy użyciu Razor?

153

Próbuję napisać obiekt jako JSON do mojego widoku Asp.Net MVC przy użyciu Razor, na przykład:

<script type="text/javascript">
  var potentialAttendees = @Json.Encode(Model.PotentialAttendees);
</script>

Problem polega na tym, że w danych wyjściowych kodowany jest JSON, a mojej przeglądarce się to nie podoba. Na przykład:

<script type="text/javascript">
    var potentialAttendees = [{&quot;Name&quot;:&quot;Samuel Jack&quot;},];
</script>

Jak sprawić, by Razor emitował niezakodowane JSON?

asp.net-mvc json razor

— Samuel Jack
źródło

Odpowiedzi:

190

Ty robisz:

@Html.Raw(Json.Encode(Model.PotentialAttendees))

W wersjach wcześniejszych niż Beta 2 robiłeś to tak:

@(new HtmlString(Json.Encode(Model.PotentialAttendees)))

— Lorenzo
źródło

Co mogę zrobić, jeśli chcę mieć zakodowany tekst we właściwościach moich obiektów? \, {\ "UrlPart \": \ "TjcolklFX5c \", \ "Title \": \ "When Mama Isn \ u0027t Home \"}, {\ "Na przykład. natywna dekalracja ciągu znaków zmiennej a = '' to samo dotyczy „”. anny pomysł?

— SomeRandomName

@SomeRandomName możesz użyć javascriptserializerdo tego @Html.Raw(javascriptSerializerObjecct.Serialize(myObject))

— vikscool

Jesteśmy w 2017 roku, używamy MVC 5 i ta odpowiedź jest nadal doskonała!

— Gabriel Espinoza

Ta odpowiedź jest jedyną, która działa doskonale. Dzięki!

— Jean-Paul

Newtonsoft JsonConvert.SerializeObjectnie zachowuje się tak samo, Json.Encodea zrobienie tego, co sugeruje @ david-k-egghead, otwiera cię na ataki XSS .

Upuść ten kod do widoku Razor, aby zobaczyć, że używanie Json.Encodejest bezpieczne i że Newtonsoft można zabezpieczyć w kontekście JavaScript, ale nie jest to bez dodatkowej pracy.

<script>
    var jsonEncodePotentialAttendees = @Html.Raw(Json.Encode(
        new[] { new { Name = "Samuel Jack</script><script>alert('jsonEncodePotentialAttendees failed XSS test')</script>" } }
    ));
    alert('jsonEncodePotentialAttendees passed XSS test: ' + jsonEncodePotentialAttendees[0].Name);
</script>
<script>
    var safeNewtonsoftPotentialAttendees = JSON.parse(@Html.Raw(HttpUtility.JavaScriptStringEncode(JsonConvert.SerializeObject(
        new[] { new { Name = "Samuel Jack</script><script>alert('safeNewtonsoftPotentialAttendees failed XSS test')</script>" } }), addDoubleQuotes: true)));
    alert('safeNewtonsoftPotentialAttendees passed XSS test: ' + safeNewtonsoftPotentialAttendees[0].Name);
</script>
<script>
    var unsafeNewtonsoftPotentialAttendees = @Html.Raw(JsonConvert.SerializeObject(
        new[] { new { Name = "Samuel Jack</script><script>alert('unsafeNewtonsoftPotentialAttendees failed XSS test')</script>" } }));
    alert('unsafeNewtonsoftPotentialAttendees passed XSS test: ' + unsafeNewtonsoftPotentialAttendees[0].Name);
</script>

Zobacz też:

— Jeremy Cook
źródło

Czy masz jakiś pomysł, kiedy dodali Json.Encode? Nie zdawałem sobie sprawy, że w rzeczywistości istnieje bezpieczny sposób wstawienia pliku JSON na stronie i wiem, że w przeszłości przeprowadziłem wiele badań na ten temat.

— Chris Marisic

Json.Encodeistnieje, odkąd pamiętam, ale wadą jest to, że wykorzystuje implementację firmy Microsoft, która generuje niestandardowe daty (i może robić inne uciążliwe rzeczy). Używam i zachęcam do korzystania z Newtonsoft w JsonConvert.SerializeObjectpołączeniu z odpowiednim ucieczką, ponieważ ma lepsze wyjście.

— Jeremy Cook,

Cieszę się, że przewinęłam w dół. Natychmiast zobaczyłem zaakceptowaną odpowiedź, miałem nadzieję, że jest na to bezpieczny sposób.

— mroźno cudowne

Wersja HttpUtility.JavaScriptStringEncode również koduje znaki cudzysłowu w formacie JSON, czyniąc je nieprawidłowymi, jeśli jest używany bezpośrednio w skrypcie [type = 'application / json'], a szkoda.

— Pete Kirkham

Uwaga dla przyszłego siebie: ten, którego chcesz użyć, to: @ Html.Raw (Json.Encode ())

— Pangamma

Korzystanie z Newtonsoft

<script type="text/jscript">
  var potentialAttendees  = @(Html.Raw(Newtonsoft.Json.JsonConvert.SerializeObject(Model.PotentialAttendees)))
</script>

— Ravi Ram
źródło

Jest to potencjalnie podatne na luki w zabezpieczeniach XSS, które Json.Encode naprawia, ale możesz zastąpić, JsonSerializerSettings.StringEscapeHandlingaby włączyć kodowanie. stackoverflow.com/a/50336590/6950124

— Kevin Secrist